内容説明
Webセキュリティの第一人者、徳丸浩氏がやさしく解説!
会社が教えてくれないWebセキュリティの新常識
Webサイトを狙った攻撃が相次いでいる。
多くの企業にとって、仕事のうえで欠かせないWebサイトが乗っ取られたり、不正侵入されたりすると、会社の信用も含めて被害は甚大なものになる。つまりセキュリティ確保は喫緊の課題なのだ。
もちろんWebサイトをビジネスに活用している企業にとって、Webセキュリティは技術者だけの問題ではない。ユーザー部門やマネジメント層も関わるべき重要な課題だ。
そこで本書では、Webセキュリティの第一人者である徳丸浩氏に、Webセキュリティの本質や新常識について分かりやすく解説してもらう。
感想・レビュー
※以下の感想・レビューは、株式会社ブックウォーカーの提供する「読書メーター」によるものです。
えちぜんや よーた
69
例えばCSRF攻撃に対する有効な手段として、投稿ページでトークンを発行し、そのトークンを保持しているかどうかを確認するというものがある。機械的にそういうもんだと暗記したが、本書ではさらに踏み込んで理由が詳しく説明されている。「なぜそうするのか?」技術的な背景がよく分かった。加えて攻撃者の意図についても解説されているので、常に手元に置きたい。通読してお正月気分が一気に吹き飛びました。2016/01/03
OjohmbonX
5
空き巣って、鍵盗って家に入る(認証突破)か、開いてた窓から家に入る(脆弱性の利用)か基本2種類なんだから、ちゃんと鍵の管理するか戸締りしっかりするのがメインって感じだと教えてくれる。で、それぞれどういう鍵の拾い方、家の入り方があるか、荒らされ方や盗まれ方、鍵の締め方……そういうのを事例と一緒に概説してくれる。今まで(実際流出とかなりすましってどういうことなんだろ)と思ってたけどかなりはっきり全体のイメージが掴める。誰(発注者/受注者/利用者)がどうするのが筋として正しいのか、効率がいいのかも教えてくれる。2015/12/27
boya
4
徳丸先生の本は初めてでしたが、連載はたびたび目を通していたので、ほぼ復習という感じ。代表的な攻撃手法と対策を概観できる。平易な内容なので、最低限の脆弱性を知っていれば誰でもざっと見おすすめ。みずほ銀行のトランザクション認証はよく知らなかったのでよかったです。2016/09/15
kawamura
4
セキュリティ界で有名な徳丸氏の書籍.入門書のサンプルコードにも脆弱性が存在するという.たとえばXSSは不正な操作を行うスクリプトを送信する攻撃だが,この点について”フォームからの入力”にしか注意を払っていないという.文字列をデータベースに登録し,データベースを表示するまでのシーケンスにHTMLエスケープ処理が必要であるという記述が無いという.当然サンプルコードにもそのような実装はされていない.このサンプルコードを流用し,アプリを作成すると脆弱性を持つアプリが量産されてしまう. 疑う力が求められる.2016/03/12
hisaos
2
かの「徳丸本」著者による最新作。SQLインジェクション、XSS、CSRF、セッション・クッキー周りの話など、しばしば話題にのぼるWebシステムの脆弱性について、基本的な知識が得られる。 コードの類はほとんどないので、そちらを詳しく勉強したい人は「徳丸本」をどうぞ、というところ。パスワードの定期的変更の効果について、変更した場合・しない場合についてそれぞれパスワードをクラックされる確率を試算し、その効果がいかほどのものか述べているところは全企業のIT担当者にぜひ読んでほしいところ。2016/03/12
