Webアプリセキュリティ対策入門〜あなたのサイトは大丈夫?
![[表紙]Webアプリセキュリティ対策入門〜あなたのサイトは大丈夫?](http://image.gihyo.co.jp/assets/images/cover/2006/thumb/TH160_4774127027.jpg "[表紙]Webアプリセキュリティ対策入門〜あなたのサイトは大丈夫?")
2006年3月16日発売
大垣靖男 著
A5判/264ページ
定価3,129円(本体2,980円)
ISBN 4-7741-2702-7
ただいま弊社在庫はございません。
この本の概要
本書は,Webサイトのセキュリティ確保のために必要な基礎知識と,安全なコードを書くために必要な基礎知識を解説しています。Webアプリケーションは比較的簡単に作成できますが,もっとも危険なアプリケーションの一つです。どのようなリスクが存在するのか理解し,正しく対処するための一般的な知識を習得できます。
こんな方におすすめ
- Webサイトを運営している方。
- これからWebアプリ開発をはじめる方。
- Webアプリのセキュリティ対策に自信のない方。
この書籍に関連する記事があります!
- なぜPHPアプリにセキュリティホールが多いのか?
- 「PHPのセキュリティは最悪だ」とよく聞きませんか? 本連載では,そのあたりの本当のところを探りながら,Webアプリケーションのセキュリティ対策について考えます。
- はじめに
- 用語の定義
第1部 基礎編――セキュリティ対策の基礎知識
- CHAPTER:1 セキュリティ対策とは?
- 1-1 セキュリティ対策の基礎知識
- 1-2 セキュリティ対策の現状
- 1-3 セキュリティ確保――何をどのような脅威から守るのか?
- 1-4 2つのセキュリティ対策のモデル
- 1-5 フェイルセーフ(Failsafe)
- 1-6 多重のセキュリティ
- 1-7 攻撃可能な箇所の削減
- 1-8 脆弱性とセキュリティホール
- CHAPTER:2 Webサイトセキュリティの基礎知識
- 2-1 Webサイトで100%安全なサービスを提供できるか?
- 2-2 間違った認識の例――SSL/TLSの安全性,クッキーの弊害,ソフトウェアキーボード,暗号表
- 2-3 安全性と利便性
- 2-4 Webサイトは最も危険なサービスの一つ
第2部 概念編――脆弱性対策の基礎知識
- CHAPTER:3 Webシステムの脆弱性
- 3-1 プログラムの不具合のよる脆弱性
- 3-2 アプリケーション設計の不具合による脆弱性
- 3-3 システム管理の不具合による脆弱性
- 3-4 システム環境の不具合による脆弱性
- CHAPTER:4 固有の名称を持つWebサイトの攻撃手法
- 4-1 クロスサイトスクリプティング(Cross Site Scripting――XSS)
- 4-2 SQLインジェクション(SQL Injection)
- 4-3 HTTPレスポンススプリッティング(HTTP Response Splitting)
- 4-4 クロスサイトリクエストフォージェリ(Cross Site Request Forgery――CSRF)
- 4-5 バッファオーバーフロー(Buffer Overflow)
- 4-6 LDAPインジェクション(LDAP Injection)
- 4-7 XMLインジェクション(XML Injection)
- 4-8 XPathインジェクション(XPath Injection)
- 4-9 パラメータ改ざん(Parameter Manipulation)
- 4-10 隠しフィールドの改ざん(Hidden Field Manipulation)
- 4-11 クッキーの改ざん(Cookie Manipulation)
- 4-12 クロスサイトトレーシング(Cross Site Tracing――XST)
- 4-13 ディレクトリ遷移(Directory Traversal)
- 4-14 パスの漏洩(Path Disclosure)
- 4-15 ヌルバイト(Null Byte / Null Character)
- 4-16 強制ブラウズ(Forceful Browsing)
- 4-17 セッションハイジャック(Session Hijack)
- 4-18 コマンドインジェクション(Command Injection / Command Insertion)
- 4-19 プログラムの実行(Code Execution)
- 4-20 サービス不能(Denial of Service――DoS)
- 4-21 その他の攻撃手法
- CHAPTER:5 Webサイトの脆弱性
- 5-1 入力の確認不足
- 5-2 フィルタ処理の不備
- 5-3 ファイルの不正参照
- 5-4 アクセスコントロールの不備
- 5-5 セッション管理の不備
- 5-6 エラー処理の不備
- 5-7 設定管理の不備
第3部 実践編
- CHAPTER:6 セキュリティ対策の基本
- 6-1 脆弱性とセキュリティホール
- 6-2 開発者のスキル
- 6-3 なぜWebアプリケーションの脆弱性が多いのか?
- 6-4 基本的なアプローチの変更
- 6-5 「安全なアプローチ」
- CHAPTER:7 脆弱性対策
- 7-1 クロスサイトスクリプティング(Cross Site Scripting――XSS)
- 7-2 SQLインジェクション(SQL Injection)
- 7-3 クロスサイトリクエストフォージェリ
- 7-4 ディレクトリ遷移
- 7-5 スクリプトの実行
- 7-6 コマンドインジェクション
- CHAPTER:8 Webサイトの脆弱性への対策
- 8-1 サンプルアプリケーション
- 8-2 入力の確認不足
- 8-3 フィルタ処理の不備
- 8-4 ファイルの不正参照
- 8-5 アクセスコントロールの不備
- 8-6 セッション管理の不備
- 8-7 エラー処理の不備
- 8-8 設定管理の不備
付録
- APPENDIX:A PHPの言語仕様
- A-1 PHPの概要
- A-2 基本構文
- APPENDIX:B JavaScriptを実行可能なハンドラ
- APPENDIX:C サンプルプログラム――シンプルBBS
- APPENDIX:D サンプルプログラム――CAPTCHA
- APPENDIX:E 参考資料
大垣靖男(おおがきやすお)
University of Denver卒。同校にてコンピュータサイエンスとビジネスを学ぶ。株式会社シーエーシーを経て,エレクトロニック・サービス・イニシアチブ有限会社を設立。
オープンソース製品は比較的古くから利用し,Linuxは0.9xのころから利用している。オープンソースシステム開発への参加はエレクトロニック・サービス・イニシアチブ設立後から。PHPプロジェクトでは,PostgreSQLモジュールのメンテナンスを担当している。
著書
![[改訂版]PHPポケットリファレンス](http://image.gihyo.co.jp/assets/images/cover/2005/thumb/TH40_4774125024.jpg){kind=small}
-
はじめてのPHP言語プログラミング入門
Webアプリケーション構築ツールとしてPHPを取り上げた書籍は数多くありますが,言語の解説・入門書としての書籍はあまりありません。 本書は,プログラミング言語として...
-
![[改訂版]PHPポケットリファレンス](http://image.gihyo.co.jp/assets/images/cover/2005/thumb/TH64_4774125024.jpg)
[改訂版]PHPポケットリファレンス
本書は,膨大なPHPのコマンド群を,「〜したい」などといった目的によって引いて調べることができます。もちろんコマンド名から引くことも可能。知りたいことを,その場...
![[改訂第3版] SQLポケットリファレンス](http://image.gihyo.co.jp/assets/images/cover/2009/thumb/TH40_9784774138350.jpg){kind=small}
![[改訂3版]図解でよくわかる ネットワークの重要用語解説](http://image.gihyo.co.jp/assets/images/cover/2009/thumb/TH40_9784774138213.jpg){kind=small}
![[改訂新版]これだけはおさえたい データベース 基礎の基礎](http://image.gihyo.co.jp/assets/images/cover/2009/thumb/TH40_9784774139937.jpg){kind=small}
