Webアプリセキュリティ対策入門〜あなたのサイトは大丈夫?

[表紙]Webアプリセキュリティ対策入門〜あなたのサイトは大丈夫?

A5判/264ページ

定価(本体2,980円+税)

ISBN 4-7741-2702-7

ただいま弊社在庫はございません。

→学校・法人一括購入ご検討の皆様へ

書籍の概要

この本の概要

本書は,Webサイトのセキュリティ確保のために必要な基礎知識と,安全なコードを書くために必要な基礎知識を解説しています。Webアプリケーションは比較的簡単に作成できますが,もっとも危険なアプリケーションの一つです。どのようなリスクが存在するのか理解し,正しく対処するための一般的な知識を習得できます。

こんな方におすすめ

  • Webサイトを運営している方。
  • これからWebアプリ開発をはじめる方。
  • Webアプリのセキュリティ対策に自信のない方。

目次

  • はじめに
  • 用語の定義

第1部 基礎編――セキュリティ対策の基礎知識

  • CHAPTER:1 セキュリティ対策とは?
    • 1-1 セキュリティ対策の基礎知識
    • 1-2 セキュリティ対策の現状
    • 1-3 セキュリティ確保――何をどのような脅威から守るのか?
    • 1-4 2つのセキュリティ対策のモデル
    • 1-5 フェイルセーフ(Failsafe)
    • 1-6 多重のセキュリティ
    • 1-7 攻撃可能な箇所の削減
    • 1-8 脆弱性とセキュリティホール
  • CHAPTER:2 Webサイトセキュリティの基礎知識
    • 2-1 Webサイトで100%安全なサービスを提供できるか?
    • 2-2 間違った認識の例――SSL/TLSの安全性,クッキーの弊害,ソフトウェアキーボード,暗号表
    • 2-3 安全性と利便性
    • 2-4 Webサイトは最も危険なサービスの一つ

第2部 概念編――脆弱性対策の基礎知識

  • CHAPTER:3 Webシステムの脆弱性
    • 3-1 プログラムの不具合のよる脆弱性
    • 3-2 アプリケーション設計の不具合による脆弱性
    • 3-3 システム管理の不具合による脆弱性
    • 3-4 システム環境の不具合による脆弱性
  • CHAPTER:4 固有の名称を持つWebサイトの攻撃手法
    • 4-1 クロスサイトスクリプティング(Cross Site Scripting――XSS)
    • 4-2 SQLインジェクション(SQL Injection)
    • 4-3 HTTPレスポンススプリッティング(HTTP Response Splitting)
    • 4-4 クロスサイトリクエストフォージェリ(Cross Site Request Forgery――CSRF)
    • 4-5 バッファオーバーフロー(Buffer Overflow)
    • 4-6 LDAPインジェクション(LDAP Injection)
    • 4-7 XMLインジェクション(XML Injection)
    • 4-8 XPathインジェクション(XPath Injection)
    • 4-9 パラメータ改ざん(Parameter Manipulation)
    • 4-10 隠しフィールドの改ざん(Hidden Field Manipulation)
    • 4-11 クッキーの改ざん(Cookie Manipulation)
    • 4-12 クロスサイトトレーシング(Cross Site Tracing――XST)
    • 4-13 ディレクトリ遷移(Directory Traversal)
    • 4-14 パスの漏洩(Path Disclosure)
    • 4-15 ヌルバイト(Null Byte / Null Character)
    • 4-16 強制ブラウズ(Forceful Browsing)
    • 4-17 セッションハイジャック(Session Hijack)
    • 4-18 コマンドインジェクション(Command Injection / Command Insertion)
    • 4-19 プログラムの実行(Code Execution)
    • 4-20 サービス不能(Denial of Service――DoS)
    • 4-21 その他の攻撃手法
  • CHAPTER:5 Webサイトの脆弱性
    • 5-1 入力の確認不足
    • 5-2 フィルタ処理の不備
    • 5-3 ファイルの不正参照
    • 5-4 アクセスコントロールの不備
    • 5-5 セッション管理の不備
    • 5-6 エラー処理の不備
    • 5-7 設定管理の不備

第3部 実践編

  • CHAPTER:6 セキュリティ対策の基本
    • 6-1 脆弱性とセキュリティホール
    • 6-2 開発者のスキル
    • 6-3 なぜWebアプリケーションの脆弱性が多いのか?
    • 6-4 基本的なアプローチの変更
    • 6-5 「安全なアプローチ」
  • CHAPTER:7 脆弱性対策
    • 7-1 クロスサイトスクリプティング(Cross Site Scripting――XSS)
    • 7-2 SQLインジェクション(SQL Injection)
    • 7-3 クロスサイトリクエストフォージェリ
    • 7-4 ディレクトリ遷移
    • 7-5 スクリプトの実行
    • 7-6 コマンドインジェクション
  • CHAPTER:8 Webサイトの脆弱性への対策
    • 8-1 サンプルアプリケーション
    • 8-2 入力の確認不足
    • 8-3 フィルタ処理の不備
    • 8-4 ファイルの不正参照
    • 8-5 アクセスコントロールの不備
    • 8-6 セッション管理の不備
    • 8-7 エラー処理の不備
    • 8-8 設定管理の不備

付録

  • APPENDIX:A PHPの言語仕様
    • A-1 PHPの概要
    • A-2 基本構文
  • APPENDIX:B JavaScriptを実行可能なハンドラ
  • APPENDIX:C サンプルプログラム――シンプルBBS
  • APPENDIX:D サンプルプログラム――CAPTCHA
  • APPENDIX:E 参考資料

著者プロフィール

大垣靖男(おおがきやすお)

University of Denver卒。同校にてコンピュータサイエンスとビジネスを学ぶ。株式会社シーエーシーを経て,エレクトロニック・サービス・イニシアチブ有限会社を設立。
オープンソース製品は比較的古くから利用し,Linuxは0.9xのころから利用している。オープンソースシステム開発への参加はエレクトロニック・サービス・イニシアチブ設立後から。PHPプロジェクトでは,PostgreSQLモジュールのメンテナンスを担当している。

URLhttp://blog.ohgaki.net/

著書