Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版 上野宣が教える新しい情報漏えいを防ぐ技術(上野宣)|翔泳社の本
  1. ホーム >
  2. 書籍 >
  3. Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版 上野宣が教える新しい情報漏えいを防ぐ技術

Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版 上野宣が教える新しい情報漏えいを防ぐ技術 新刊


形式:
書籍
発売日:
ISBN:
9784798159164
価格:
本体3,280円+税
仕様:
B5変・344ページ
分類:
ネットワーク・サーバ

本書籍の他の形式を確認する

  • このエントリーをはてなブックマークに追加

『Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術』は2016年8月1日に初版が刊行されて2年が経ちました。日々変更されるセキュリティリスクに対応するため、さまざまな項目が見直されています。本書でも最新の状況に対応するため、OWASP Top 2017に沿って内容を一新いたしました。改訂版では、改訂されたガイドラインの解説、追加された脆弱性の説明、診察する箇所の見直し、診断ツールの最新版に対応などを行っています。

本書はWebアプリケーションの脆弱性をチェックするための解説書です。Webアプリケーションはユーザーの個人情報や商品情報など重要な情報を扱っています。Webアプリケーションの開発者がセキュリティに自信がある場合でも、開発者の勘違いや設計ミスなどがあることでWebアプリケーションに侵入・改ざんなどが行われ、個人情報が盗まれる恐れがあります。

本書ではWebアプリケーションの開発に必要なセキュリティを確認するための脆弱性診断についてまとめています。脆弱性診断を行う際のスタンダードツールとなっているOWASP ZAPとBurp Suiteを使用することで、開発者やセキュリティ担当者がセキュリティに問題がないかを検査することができます。

本書の前半では、Webアプリケーションがどのような仕組みで通信をし、脆弱性がどのようなものかといった診断に必要なネットワークの知識を学んでいきます。後半では、実際に問題があるBadStoreというWebアプリケーションを使用し、仮想マシン上で実際に手を動かしながら脆弱性診断の手法を学んでいきます。診断の仕方はOWASP ZAPを使用して自動的に脆弱性診断を行う方法と、Burp Suiteを使用して手動でフォームなどのパラメータに検査パターンを挿入し診断する方法など様々な手法を解説しています。また、脆弱性診断を行う際に便利な脆弱性診断ガイドラインも付いています。

著者の上野宣はOWASP Japanの代表であり、脆弱性診断の第一人者です。脆弱性診断の手法を身に付けることで、セキュリティを客観的に判断することができますので、Webアプリケーションの開発者だけでなく、経営者の方にもおすすめの1冊です。


◆基礎編
第1章 脆弱性診断とは
 1-1 脆弱性診断とは「脆弱性を発見するためのテスト手法」
 1-2 本書の脆弱性診断対象とWebサイトの脆弱性対策
 1-3 脆弱性診断士に必要な知識や技術
 1-4 脆弱性診断士に求められる倫理観

第2章 診断に必要なHTTPの基本
 2-1 HTTPとは
 2-2 TCP/IPとHTTPの関係
 2-3 HTTPと関係深いプロトコル―IP・TCP・DNS
 2-4 URLとURI
 2-5 シンプルなプロトコルHTTP

第3章 Webアプリケーションの脆弱性
 3-1 Webアプリケーションへの攻撃とは
 3-2 インジェクション―Webアプリケーションの脆弱性
 3-3 認証―Webアプリケーションの脆弱性
 3-4 セッション管理の不備―Webアプリケーションの脆弱性
 3-5 情報漏えい―Webアプリケーションの脆弱性
 3-6 その他―Webアプリケーションの脆弱性

第4章 脆弱性診断の流れ
 4-1 診断業務の流れ
 4-2 診断実施前の準備
 4-3 脆弱性診断の実施手順

第5章 実習環境とその準備
 5-1 診断ツールのセットアップ
 5-2 診断のためのWebブラウザのセットアップ
 5-3 実習環境のセットアップ
 5-4 実際の診断の際の注意事項

◆実践編
第6章 自動診断ツールによる脆弱性診断の実施
 6-1 自動診断ツールを使った脆弱性診断の実施手順
 6-2 OWASP ZAPの基本操作
 6-3 OWASP ZAPに診断対象を記録
 6-4 OWASP ZAPで診断を実行

第7章 手動診断補助ツールによる脆弱性診断の実施
 7-1 手動診断補助ツールを使った脆弱性診断の実施手順
 7-2 Webアプリケーション脆弱性診断手法
 7-3 Burp Suiteの基本操作
 7-4 診断リストの作成
 7-5 Burp Suiteの各種ツールの使い方
 7-6 Burp Suiteを使った脆弱性診断
 7-7 より多くの脆弱性を発見するためのヒント集

第8章 診断報告書の作成
 8-1 診断報告書の記載事項
 8-2 総合評価と個別の脆弱性の報告
 8-3 リスク評価

第9章 関係法令とガイドライン
 9-1 脆弱性診断に関連する法律、ルール、基準など

◆付録
実習環境のセットアップ(Oracle VM VirtualBox)
 A-1 実習環境のセットアップ

本書は付属データの提供はございません。

書籍への問い合わせ

正誤表、追加情報をご確認の上、こちらよりお問い合わせください

書影の利用許諾について

本書籍に関する利用許諾申請はこちらになります

追加情報はありません。
正誤表の登録はありません。