著者紹介

内容

目次

1章 Webアプリケーションの脆弱性とは 1.1 脆弱性とは、「悪用できるバグ」 1.2 脆弱性があるとなぜ駄目なのか 1.3 脆弱性が生まれる理由 1.4 セキュリティバグとセキュリティ機能 1.5 本書の構成 1.6 セキュリティガイドラインとの対応 2章 実習環境のセットアップ 2.1 実習環境の概要 2.2 Firefoxのインストール 2.3 VirtualBoxのインストール 2.4 仮想マシンのインストールと動作確認 2.5 OWASP ZAPのインストール 2.6 Firefoxの拡張FoxyProxy-Standardのインストール 2.7 OWASP ZAPを使ってみる 2.8 Webメールの確認 3章 Webセキュリティの基礎 ～ HTTP、セッション管理、同一オリジンポリシー 3.1 HTTPとセッション管理 3.2 受動的攻撃と同一オリジンポリシー 3.3 CORS（Cross-Origin Resource Sharing） 4章 Webアプリケーションの機能別に見るセキュリティバグ 4.1 Webアプリケーションの機能と脆弱性の対応 4.2 入力処理とセキュリティ 4.3 表示処理に伴う問題 4.4 SQL呼び出しに伴う脆弱性 4.5 「 重要な処理」の際に混入する脆弱性 4.6 セッション管理の不備 4.7 リダイレクト処理にまつわる脆弱性 4.8 クッキー出力にまつわる脆弱性 4.9 メール送信の問題 4.10 ファイルアクセスにまつわる問題 4.11 OSコマンド呼び出しの際に発生する脆弱性 4.12 ファイルアップロードにまつわる問題 4.13 インクルードにまつわる問題 4.14 構造化データの読み込みにまつわる問題 4.15 共有資源やキャッシュに関する問題 4.16 Web API実装における脆弱性 4.17 JavaScriptの問題 5章 代表的なセキュリティ機能 5.1 認証 5.2 アカウント管理 5.3 認可 5.4 ログ出力 6章 文字コードとセキュリティ 6.1 文字コードとセキュリティの概要 6.2 文字集合 6.3 文字エンコーディング 6.4 文字コードによる脆弱性の発生要因まとめ 6.5 文字コードを正しく扱うために 6.6 まとめ 7章 脆弱性診断入門 7.1 脆弱性診断の概要 7.2 脆弱なサンプルアプリケーションBad Todo 7.3 診断ツールのダウンロードとインストール 7.4 Nmapによるポートスキャン 7.5 OpenVASによるプラットフォーム脆弱性診断 7.6 OWASP ZAPによる自動脆弱性スキャン 7.7 OWASP ZAPによる手動脆弱性診断 7.8 RIPSによるソースコード診断 7.9 脆弱性診断実施上の注意 7.10 まとめ 7.11 脆弱性診断報告書のサンプル 8章 Webサイトの安全性を高めるために 8.1 Webサーバーへの攻撃経路と対策 8.2 成りすまし対策 8.3 盗聴・改ざん対策 8.4 マルウェア対策 8.5 まとめ 9章 安全なWebアプリケーションのための開発マネジメント 9.1 開発マネジメントにおけるセキュリティ施策の全体像 9.2 開発体制 9.3 開発プロセス 9.4 まとめ