Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版 上野宣が教える新しい情報漏えいを防ぐ技術
上野 宣 著
- 形式:
- 書籍
- 発売日:
- 2019年02月08日
- ISBN:
- 9784798159164
- 定価:
- 3,608円(本体3,280円+税10%)
- 仕様:
- B5変・344ページ
- カテゴリ:
- ネットワーク・サーバ
- キーワード:
- #ネットワーク・サーバ・セキュリティ,#データ・データベース,#システム運用,#Web・アプリ開発
翔泳社通販SEshop
Kindle
honto
ヨドバシ
BookLive!
Google
『Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術』は2016年8月1日に初版が刊行されて2年が経ちました。日々変更されるセキュリティリスクに対応するため、さまざまな項目が見直されています。本書でも最新の状況に対応するため、OWASP Top 10 - 2017に沿って内容を一新いたしました。改訂版では、改訂されたガイドラインの解説、追加された脆弱性の説明、診察する箇所の見直し、診断ツールの最新版に対応などを行っています。
本書はWebアプリケーションの脆弱性をチェックするための解説書です。Webアプリケーションはユーザーの個人情報や商品情報など重要な情報を扱っています。Webアプリケーションの開発者がセキュリティに自信がある場合でも、開発者の勘違いや設計ミスなどがあることでWebアプリケーションに侵入・改ざんなどが行われ、個人情報が盗まれる恐れがあります。
本書ではWebアプリケーションの開発に必要なセキュリティを確認するための脆弱性診断についてまとめています。脆弱性診断を行う際のスタンダードツールとなっているOWASP ZAPとBurp Suiteを使用することで、開発者やセキュリティ担当者がセキュリティに問題がないかを検査することができます。
本書の前半では、Webアプリケーションがどのような仕組みで通信をし、脆弱性がどのようなものかといった診断に必要なネットワークの知識を学んでいきます。後半では、実際に問題があるBadStoreというWebアプリケーションを使用し、仮想マシン上で実際に手を動かしながら脆弱性診断の手法を学んでいきます。診断の仕方はOWASP ZAPを使用して自動的に脆弱性診断を行う方法と、Burp Suiteを使用して手動でフォームなどのパラメータに検査パターンを挿入し診断する方法など様々な手法を解説しています。また、脆弱性診断を行う際に便利な脆弱性診断ガイドラインも付いています。
著者の上野宣はOWASP Japanの代表であり、脆弱性診断の第一人者です。脆弱性診断の手法を身に付けることで、セキュリティを客観的に判断することができますので、Webアプリケーションの開発者だけでなく、経営者の方にもおすすめの1冊です。
◆基礎編
第1章 脆弱性診断とは
1-1 脆弱性診断とは「脆弱性を発見するためのテスト手法」
1-2 本書の脆弱性診断対象とWebサイトの脆弱性対策
1-3 脆弱性診断士に必要な知識や技術
1-4 脆弱性診断士に求められる倫理観
第2章 診断に必要なHTTPの基本
2-1 HTTPとは
2-2 TCP/IPとHTTPの関係
2-3 HTTPと関係深いプロトコル―IP・TCP・DNS
2-4 URLとURI
2-5 シンプルなプロトコルHTTP
第3章 Webアプリケーションの脆弱性
3-1 Webアプリケーションへの攻撃とは
3-2 インジェクション―Webアプリケーションの脆弱性
3-3 認証―Webアプリケーションの脆弱性
3-4 セッション管理の不備―Webアプリケーションの脆弱性
3-5 情報漏えい―Webアプリケーションの脆弱性
3-6 その他―Webアプリケーションの脆弱性
第4章 脆弱性診断の流れ
4-1 診断業務の流れ
4-2 診断実施前の準備
4-3 脆弱性診断の実施手順
第5章 実習環境とその準備
5-1 診断ツールのセットアップ
5-2 診断のためのWebブラウザのセットアップ
5-3 実習環境のセットアップ
5-4 実際の診断の際の注意事項
◆実践編
第6章 自動診断ツールによる脆弱性診断の実施
6-1 自動診断ツールを使った脆弱性診断の実施手順
6-2 OWASP ZAPの基本操作
6-3 OWASP ZAPに診断対象を記録
6-4 OWASP ZAPで診断を実行
第7章 手動診断補助ツールによる脆弱性診断の実施
7-1 手動診断補助ツールを使った脆弱性診断の実施手順
7-2 Webアプリケーション脆弱性診断手法
7-3 Burp Suiteの基本操作
7-4 診断リストの作成
7-5 Burp Suiteの各種ツールの使い方
7-6 Burp Suiteを使った脆弱性診断
7-7 より多くの脆弱性を発見するためのヒント集
第8章 診断報告書の作成
8-1 診断報告書の記載事項
8-2 総合評価と個別の脆弱性の報告
8-3 リスク評価
第9章 関係法令とガイドライン
9-1 脆弱性診断に関連する法律、ルール、基準など
◆付録
実習環境のセットアップ(Oracle VM VirtualBox)
A-1 実習環境のセットアップ
お問い合わせ
内容についてのお問い合わせは、正誤表、追加情報をご確認後に、お送りいただくようお願いいたします。
正誤表、追加情報に掲載されていない書籍内容へのお問い合わせや
その他書籍に関するお問い合わせは、書籍のお問い合わせフォームからお送りください。
利用許諾に関するお問い合わせ
本書の書影(表紙画像)をご利用になりたい場合は書影許諾申請フォームから申請をお願いいたします。
書影(表紙画像)以外のご利用については、こちらからお問い合わせください。
ご購入いただいた書籍の種類を選択してください。
書籍の刷数を選択してください。
刷数は奥付(書籍の最終ページ)に記載されています。
現在表示されている正誤表の対象書籍
書籍の種類:
書籍の刷数:
本書に誤りまたは不十分な記述がありました。下記のとおり訂正し、お詫び申し上げます。
対象の書籍は正誤表がありません。
| 発生刷 | ページ数 | 書籍改訂刷 | 電子書籍訂正 | 内容 | 登録日 | ||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| 1刷 | 016~041 右ページのツメの部分 |
未 | 済 |
|
2023.05.03 | ||||||
| 1刷 | 184~190 実習環境「BadStore」を例にした操作説明 |
2刷 | 済 |
|
2021.06.08 |
感想・レビュー 
kannkyo さん
2020-08-08
世にも珍しいwebサイトの脆弱性診断の入門書。この手の本を書いているのは上野氏くらいしかいないのではないかな。脆弱性診断ツールの使い方や脆弱性診断のためのFirefox設定方法まで細かく書いてある。また、ネット上の脆弱性診断に役立つ資料の紹介も豊富。まぁ、周りに診断のプロがいないときは「とりあえず読め」的な本よな。
えるぱ さん
2021-03-27
分かりやすく実践的に書かれていた。入門書としておすすめ。
