これならわかる不正アクセス対策入門の入門(山田 祥寛 萩原 佳明)|翔泳社の本
  1. ホーム >
  2. 書籍 >
  3. これならわかる不正アクセス対策入門の入門

これならわかる不正アクセス対策入門の入門

監修

形式:
書籍
発売日:
ISBN:
9784798109381
定価:
1,980(本体1,800円+税10%)
仕様:
A5・288ページ

Perl、PHP、Web開発者必読!
プログラミングをはじめる前に、読んでおきたい1冊!
不正アクセス対策の基本を身につける!

不正アクセス対策について、肩肘張らずにサクッと読めて、でも重要な考え方は身につけられるような本をがんばって書いてみた。この本では、サーバの設定の仕方から、「クロス・サイト・スクリプティング」や「SQLインジェクション」などのWebアプリケーションのセキュリティまで、不正アクセスに対処するための考え方が身につくようになっている。でも、重要なのは個々の細かいHOW-TOなのではなく、いつも心にセキュリティ・マインドを持っていることだ。
本書がそういうセキュリティ・マインド育成の一助になれば幸いである。 (「まえがき」より)

Part 1 不正アクセスって何ですか?

01 そもそも不正アクセスとは?
02 不正アクセスをされると何が困るの?
03 誰が不正アクセスをするのか?
04 いま不正アクセスが注目されるわけ
05 不正アクセス対策を意識しておかなくてはならない人

Part 2 不正アクセスはどこで起きるのか

06 「ホームページを見る」とはどういうことか?
07 サーバにあるファイルがブラウザまでやってくる
08 ユーザーによって違う反応をするページ
09 データはどこに保存されているのか
10 「ステートレス」ということ
11 不正アクセスはどこで起きるのか?

Part 3 不正アクセス対策、せめてこれだけは

12 そんなところにサーバを置くなんて
13 余分な通信はシャットアウト
14 余分なサービスはシャットダウン
15 インストールしただけになってない?
16 セキュリティパッチを怖がらない
17 平文でリモートアクセスするなんて
18 ログを使って健康管理
19 JavaScriptでのチェックだけ?

Part 4 インパクト大、の不正アクセス対策

20 ヒミツなURLはヒミツじゃない
21 直接見られるデータファイル
22 パラメータには要注意
23 granted=1ってまさか?
24 ディレクトリをのぼられてしまうとき
25 次が読めちゃうセッションID
26 せっかちさんなセッションID
27 買った覚えがない商品が
28 クッキー取られるXSS
29 セッションハイジャックしましょ
30 クロスサイトスクリプティングでニセ記事は如何?
31 認証すり抜けの術―SQLインジェクション
32 データベースが壊れちゃう―SQLインジェクション
33 違うところにリダイレクト
34 リダイレクトするはずだったのに

Part 5 不正アクセス対策、できればこれも

35 アドレス欄にIDとパスワードが
36 アクセスログは意外とおしゃべり
37 ラジオボタンじゃ安心できない
38 HIDDENの値を書き換えられた
39 リファラを信じちゃいけないよ
40 前のセッションが残ってるけど
41 どう移動するかはユーザー次第
42 そのクッキー、範囲が広すぎます
43 そのクッキー、有効期限が長すぎます
44 そのクッキー、中身が重要すぎます
45 ログインエラーが親切すぎる
46 タグ属性にスクリプト
47 スパムだって送り放題
48 生成ファイルに気をつけろ
49 ページあたり100万件でお願いします
50 全件マッチでアップアップ
51 テーブルに対して権限がありすぎる
52 独自証明書を信用しろだと?
53 長すぎて意味がなくなるパスワード
54 rootkitにヤラれるな
55 DoS攻撃に気をつけろ
56 侵入されてからじゃ遅いよね

Part 6 もっともっと不正アクセス対策

57 HTMLソースでバレバレ
58 JavaScriptで組み立てたSQL
59 ログイン、ログイン、またログイン
60 スクリプトに書いたパスワード
61 バックアップファイルにご用心
62 バックアップのパーミッション
63 大盤振る舞いなパーミッション
64 setuid禁止
65 まる見えテンポラリファイル
66 レンタルサーバのワナ
67 ファイル一覧は必要なの?
68 POSTもGETもいっしょくたかよ
69 デバッグモードは誰のため?
70 オプション設定が簡単すぎる
71 そんなオリジナリティなんかいらない
72 シンボリックリンクで攻撃だ
73 PATHを信頼しすぎちゃ危ない
74 時刻の同期は意外と大事
75 自分で自分にクラックを

本書は付属データの提供はございません。

お問い合わせ

内容についてのお問い合わせは、正誤表、追加情報をご確認後に、お送りいただくようお願いいたします。

正誤表、追加情報に掲載されていない書籍内容へのお問い合わせや
その他書籍に関するお問い合わせは、書籍のお問い合わせフォームからお送りください。

利用許諾に関するお問い合わせ

本書の書影(表紙画像)をご利用になりたい場合は書影許諾申請フォームから申請をお願いいたします。
書影(表紙画像)以外のご利用については、こちらからお問い合わせください。

追加情報はありません。
この商品の「よくある質問」はありません。

ご購入いただいた書籍の種類を選択してください。

書籍の刷数を選択してください。

刷数は奥付(書籍の最終ページ)に記載されています。

現在表示されている正誤表の対象書籍

書籍の種類:

書籍の刷数:

本書に誤りまたは不十分な記述がありました。下記のとおり訂正し、お詫び申し上げます。

対象の書籍は正誤表がありません。

最終更新日:2006年08月22日
発生刷 ページ数 書籍改訂刷 電子書籍訂正 内容 登録日
1刷 11
上から10行目
2刷
書き変えは
書き換えは
2006.06.29
1刷 43
下から4行目
2刷
●社内での置き場所考える
●社内での置き場所を考える
2006.06.29
1刷 43
下から5行目
2刷
たとえば必須項目である住所を書き忘れて
たとえば必須項目である名前を書き忘れて
2006.06.29
1刷 96
上から1行目
2刷
書き変え
書き換え
2006.06.29
1刷 97
上から1行目
2刷
書き変え
書き換え
2006.06.29
1刷 105
下から8行目
2刷
商品を選択肢して
商品を選択して
2006.06.29
1刷 106
上から13行目
2刷
どうやって「ひとりひとりに
「どうやってひとりひとりに
2006.06.29
1刷 108
文章の追加
2刷
(文末に訂正後の文章を追加)
●間違いの指摘を受けた  と、ここまでが初版第1刷(印刷用語でバージョン1のリビジョン1といった意味)の内容。ここまでの文章について、『開発者のための正しいCSRF 対策』というWeb上の文書(http://www.jumperz.net/texts/csrf.htm)とそのメーリングリストで間違いの指摘を受けた(2006年4月4日付けで公開された上記文書のVersion 1.2からは、本書への言及は削除されている)。  まずひとつ目。ここで紹介した、CSRF対策としてセッションIDをHIDDENフィールドに格納する方法は、Internet ExplorerのCSSXSS脆弱性のことを無視しない場合は採用すべきではないということ。この脆弱性を利用すると、HIDDENフィールドに格納されているセッションIDが、悪い人に筒抜けになってしまう可能性があるのだ。ではどうしたら良いのか等、詳しい議論については上記文書を参考にしてほしい。  もうひとつは、セッションIDを発行していないサイトでの解決策として紹介したCAPTCHAを使った方法について、対策にならないという指摘だ(http://www.freeml.com/ctrl/html/MessageForm/seasurfers@freeml.com/15から始まるスレッド)。CAPTCHAを使えば、自動化されたワナのページを作成することはできなくなる。しかし、悪い人が手動でCAPTCHAの画像から文字を読み取り、読み取った文字列をHIDDENフィールドに仕込んだワナのページを作ってしまえば、CSRF攻撃は成立してしまうのだ。これを避けるにはCAPTCHA画像の有効期限を数分といった程度に短くして、ワナページの作成を現実的でなくするぐらいしか方法はない。そうでなければ、やっぱりセッション管理をするしかないのである。  間違いを指摘してくれた金床氏には感謝だ。
2006.08.22
1刷 118
下から5行目
2刷
session referer_checkを指定しておくという
session.referer_checkを指定しておくという
2006.06.29
1刷 118
下から3行目
2刷
ハードルを上がる
ハードルを上げる
2006.06.29
1刷 127
下から1行目
2刷
pg-prepareやmysqli-prepare
pg_prepareやmysqli_prepare
2006.06.29
1刷 155
上から2,3,4,8,9,13,20行目
2刷
書き替え
書き換え

計8箇所
2006.06.29
1刷 157
上表、例列クッキー行
2刷
Cookie: uid=1234567 890abcdefguid=1234 567890abcdefg
Cookie: uid=1234567 890abcdefg
2006.06.29
1刷 184
下から2行目
2刷
書き替え
書き換え
2006.06.29
1刷 210
上から1行目
2刷
●「HTMLは誰でも見れる」を忘れがち
●「HTMLは誰でも見られる」を忘れがち
2006.06.29
1刷 211
中央HTMLソース下から3行目
2刷
パスワード<input type="text" name="password"><br >
パスワード<input type="password" name="password" ><br>
2006.06.29
1刷 259
上から8行目
2刷
内容プリントしたり
内容をプリントしたり
2006.06.29
1刷 264
上段HTMLソース下から2行目
2刷
$str=繳s/\@\@$label\@\@/$hash{$label}/g;
$str=~s/\@\@$label\@\@/$hash{$label}/g;
2006.06.29

感想・レビュー

kaizen@名古屋de朝活読書会 さん

2017-03-15

#感想歌 #短歌 外疑う前に内部を疑えとてごわそうだと思われること 防衛しないという守り方書き換えが不能なディスクで公開すれば サーバの置き場所データベース分け、ファイアウォール全部禁止で 本物の臆病者はテストする環境用意でもそこが穴 いやならばSELinux検討と誘導されて覗いてみたり 他サイトで注文CSRFでCAPTCHA対抗大丈夫かな

トトス さん

2014-11-09

6時間ぐらいで読めた。2005年に書かれた本なので今では技術的に古い話かといえばそうではない。本書に書かれているセキュリティマインドは技術が変わっても気をつける点や意識はそこまで変わらないと思うからだ。アプリケーションに重きをおいているので、アプリケーションの脆弱性などプログラマーがアプリケーションを書く際に気をつけたほうが良い点を丁寧に説明されている。ここはこうした方がいいとコードが書かれているが正直さっぱりだったので、プログラミングを書く際にはこの本の内容を思い出して書こうと思う。おすすめの一冊です。

わたる~ん さん

2013-02-05

入門の入門。「はじめに」と「おわりに」にある、「セキュリティ・マインド」を忘れないようにしつつ、次の本を読もう。