内容説明
Twitter、Facebook、Google、Uberなどのアプリケーションで発生した、報奨金がかかった脆弱性の実例を解説。攻撃者がユーザーを騙し機密情報を抜き取る方法、レース条件を利用する方法、サイトがユーザーに自らの脆弱性を公開してしまう過程、などを詳述!
目次
バグバウンティの基本
オープンリダイレクト
HTTPパラメーターの汚染
クロスサイトリクエストフォージェリ
HTMLインジェクションとコンテンツスプーフィング
キャリッジリターンラインフィードインジェクション
クロスサイトスクリプティング
テンプレートインジェクション
SQLインジェクション
サーバーサイドリクエストフォージェリ
XML外部エンティティ
リモートコード実行
メモリの脆弱性
サブドメインの乗っ取り
レース条件
安全ではないダイレクトオブジェクト参照
OAuthの脆弱性
アプリケーションロジックと設定の脆弱性
独自のバグバウンティの発見
脆弱性レポート
付録A ツール
付録B リソース
著者等紹介
ヤウォルスキー,ピーター[ヤウォルスキー,ピーター] [Yaworski,Peter]
先達ハッカーによる豊富な知識共有のおかげで自ら学ぶことができたハッカー。Salesforce、Twitter、Airbnb、Verizon Media、米国防衛省のおかげで成功を収めたバグバウンティハンターでもある。現在Shopifyでアプリケーションセキュリティエンジニアとして働いており、商取引をより安全なものにする手助けをしている
玉川竜司[タマガワリュウジ]
本業はソフト開発。新しい技術を日本の技術者に紹介することに情熱を傾けており、その手段として翻訳に取り組んでいる(本データはこの書籍が刊行された当時に掲載されていたものです)
※書籍に掲載されている著者及び編者、訳者、監修者、イラストレーターなどの紹介情報です。
感想・レビュー
※以下の感想・レビューは、株式会社ブックウォーカーの提供する「読書メーター」によるものです。
Q
TTK
