IT入門お役立ち情報:安全なWebアプリケーションの作り方 第2版
「安全なWebアプリケーションの作り方 第2版」を学習しました
Webアプリケーションを開発する上で、開発者が知っておくべきセキュリティに関する攻撃と防御の知識を解説する参考書として、一般によく紹介されている「安全なWebアプリケーションの作り方 第2版」を通読して学習しました。
この本はWebアプリケーションのセキュリティ対策の基本を理解するための本として有名で、私が情報処理安全確保支援士を受験するにあたって参考図書を調べていても、勉強すべき参考書としても必ず紹介されていました。
実際この本で紹介されているセキュリティ上の脆弱性については、下記のようなWebサイトで基本的な脆弱性ばかりなので、私自身はその他のいろんなセキュリティの参考書で学習していた内容でしたが、本書では脆弱性の説明だけではなく、それらへの攻撃方法やその攻撃への対処法が具体的に解説されています。
- クロスサイトスクリプティング
- SQLインジェクション
- ディレクトリ・トラバーサル
- クロスサイト・リクエストフォージェリ
- セッション管理の不備
また、私自身これまでこれらの脆弱性の実物に触れることはほとんどなかったのですが、この本には、ダウンロードして動作させることのできるPHPサンプルプログラムや関連ソフトウェアが提供されていますので、自ら手を動かして、脆弱性が生まれる原理と具体的な対処法を学ぶことができます。私自身も実際にサンプルなどをPCにダウンロードして、実習することができ、具体的な攻撃や対処法を体験することができたので、机上で学習するだけよりかは遥かに理解が深まったと思います。
なお、私自身はPHPのプログラミングの経験がなかったために、プログラムソースの詳細を理解することはできなかったのですが、Webアプリケーションの開発者にとっては十分に理解できる内容だと思います。
いずれにせよ、Webアプリケーションを開発する際に、セキュリティ対策を具体的にどのように実装すればよいかを検討する上で、大変参考になる本だと思います。
