Webアプリセキュリティ対策入門〜あなたのサイトは大丈夫？

2006年3月16日紙版発売

大垣靖男　著

A5判／264ページ

定価3,278円（本体2,980円＋税10%）

ISBN 4-7741-2702-7

ただいま弊社在庫はございません。

→学校・法人一括購入ご検討の皆様へ

この本の概要

本書は，Webサイトのセキュリティ確保のために必要な基礎知識と，安全なコードを書くために必要な基礎知識を解説しています。Webアプリケーションは比較的簡単に作成できますが，もっとも危険なアプリケーションの一つです。どのようなリスクが存在するのか理解し，正しく対処するための一般的な知識を習得できます。

こんな方におすすめ

Webサイトを運営している方。
これからWebアプリ開発をはじめる方。
Webアプリのセキュリティ対策に自信のない方。

はじめに
用語の定義

第1部　基礎編――セキュリティ対策の基礎知識

CHAPTER:1　セキュリティ対策とは?
- 1-1　セキュリティ対策の基礎知識
- 1-2　セキュリティ対策の現状
- 1-3　セキュリティ確保――何をどのような脅威から守るのか?
- 1-4　2つのセキュリティ対策のモデル
- 1-5　フェイルセーフ（Failsafe）
- 1-6　多重のセキュリティ
- 1-7　攻撃可能な箇所の削減
- 1-8　脆弱性とセキュリティホール
CHAPTER:2　Webサイトセキュリティの基礎知識
- 2-1　Webサイトで100%安全なサービスを提供できるか?
- 2-2　間違った認識の例――SSL/TLSの安全性，クッキーの弊害，ソフトウェアキーボード，暗号表
- 2-3　安全性と利便性
- 2-4　Webサイトは最も危険なサービスの一つ

第2部　概念編――脆弱性対策の基礎知識

CHAPTER:3　Webシステムの脆弱性
- 3-1　プログラムの不具合のよる脆弱性
- 3-2　アプリケーション設計の不具合による脆弱性
- 3-3　システム管理の不具合による脆弱性
- 3-4　システム環境の不具合による脆弱性
CHAPTER:4　固有の名称を持つWebサイトの攻撃手法
- 4-1　クロスサイトスクリプティング（Cross Site Scripting――XSS）
- 4-2　SQLインジェクション（SQL Injection）
- 4-3　HTTPレスポンススプリッティング（HTTP Response Splitting）
- 4-4　クロスサイトリクエストフォージェリ（Cross Site Request Forgery――CSRF）
- 4-5　バッファオーバーフロー（Buffer Overflow）
- 4-6　LDAPインジェクション（LDAP Injection）
- 4-7　XMLインジェクション（XML Injection）
- 4-8　XPathインジェクション（XPath Injection）
- 4-9　パラメータ改ざん（Parameter Manipulation）
- 4-10　隠しフィールドの改ざん（Hidden Field Manipulation）
- 4-11　クッキーの改ざん（Cookie Manipulation）
- 4-12　クロスサイトトレーシング（Cross Site Tracing――XST）
- 4-13　ディレクトリ遷移（Directory Traversal）
- 4-14　パスの漏洩（Path Disclosure）
- 4-15　ヌルバイト（Null Byte / Null Character）
- 4-16　強制ブラウズ（Forceful Browsing）
- 4-17　セッションハイジャック（Session Hijack）
- 4-18　コマンドインジェクション（Command Injection / Command Insertion）
- 4-19　プログラムの実行（Code Execution）
- 4-20　サービス不能（Denial of Service――DoS）
- 4-21　その他の攻撃手法
CHAPTER:5　Webサイトの脆弱性
- 5-1　入力の確認不足
- 5-2　フィルタ処理の不備
- 5-3　ファイルの不正参照
- 5-4　アクセスコントロールの不備
- 5-5　セッション管理の不備
- 5-6　エラー処理の不備
- 5-7　設定管理の不備

第3部　実践編

CHAPTER:6　セキュリティ対策の基本
- 6-1　脆弱性とセキュリティホール
- 6-2　開発者のスキル
- 6-3　なぜWebアプリケーションの脆弱性が多いのか？
- 6-4　基本的なアプローチの変更
- 6-5　「安全なアプローチ」
CHAPTER:7　脆弱性対策
- 7-1　クロスサイトスクリプティング（Cross Site Scripting――XSS）
- 7-2　SQLインジェクション（SQL Injection）
- 7-3　クロスサイトリクエストフォージェリ
- 7-4　ディレクトリ遷移
- 7-5　スクリプトの実行
- 7-6　コマンドインジェクション
CHAPTER:8　Webサイトの脆弱性への対策
- 8-1　サンプルアプリケーション
- 8-2　入力の確認不足
- 8-3　フィルタ処理の不備
- 8-4　ファイルの不正参照
- 8-5　アクセスコントロールの不備
- 8-6　セッション管理の不備
- 8-7　エラー処理の不備
- 8-8　設定管理の不備

付録

APPENDIX:A　PHPの言語仕様
- A-1　PHPの概要
- A-2　基本構文
APPENDIX:B　JavaScriptを実行可能なハンドラ
APPENDIX:C　サンプルプログラム――シンプルBBS
APPENDIX:D　サンプルプログラム――CAPTCHA
APPENDIX:E　参考資料

著者プロフィール

大垣靖男（おおがきやすお）

University of Denver卒。同校にてコンピュータサイエンスとビジネスを学ぶ。株式会社シーエーシーを経て，エレクトロニック・サービス・イニシアチブ有限会社を設立。
オープンソース製品は比較的古くから利用し，Linuxは0.9xのころから利用している。オープンソースシステム開発への参加はエレクトロニック・サービス・イニシアチブ設立後から。PHPプロジェクトでは，PostgreSQLモジュールのメンテナンスを担当している。

URL：http://blog.ohgaki.net/

著書

この本に関連する書籍

［改訂版］PHPポケットリファレンス

本書は，膨大なPHPのコマンド群を，「〜したい」などといった目的によって引いて調べることができます。もちろんコマンド名から引くことも可能。知りたいことを，その場...
はじめてのPHP言語プログラミング入門

Webアプリケーション構築ツールとしてPHPを取り上げた書籍は数多くありますが，言語の解説・入門書としての書籍はあまりありません。本書は，プログラミング言語として...

Webアプリセキュリティ対策入門〜あなたのサイトは大丈夫？

書籍の概要

この本の概要

こんな方におすすめ

目次

第1部　基礎編――セキュリティ対策の基礎知識

第2部　概念編――脆弱性対策の基礎知識

第3部　実践編

付録

著者プロフィール

大垣靖男（おおがきやすお）

著書

この本に関連する書籍

［改訂版］PHPポケットリファレンス

はじめてのPHP言語プログラミング入門

Webアプリセキュリティ対策入門〜あなたのサイトは大丈夫？

書籍の概要

この本の概要

こんな方におすすめ

目次

第1部 基礎編――セキュリティ対策の基礎知識

第2部 概念編――脆弱性対策の基礎知識

第3部 実践編

付録

著者プロフィール

大垣靖男（おおがきやすお）

著書

この本に関連する書籍

第1部　基礎編――セキュリティ対策の基礎知識

第2部　概念編――脆弱性対策の基礎知識

第3部　実践編