翔泳社の公式通販SEshopは全国送料無料!
ヘルプ 法人のお客様へ 新規会員登録 ログイン
SEshop

Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版 上野宣が教える新しい情報漏えいを防ぐ技術

上野 宣(著)

商品番号
159160
販売状態
発売中
納品形態
宅配便にてお届け
発売日
2019年02月08日
出荷開始日
2019年02月07日
ISBN
9784798159164
判型
B5変
ページ数
344
キーワード
ネットワーク  セキュリティ  アプリ開発

3,608円(税込)(本体3,280円+税10%)
送料無料

328pt (10%)
ポイントの使い方はこちら

在庫あり

初回購入から使えるポイント500円分プレゼント

電子書籍はこちら

※1点の税込金額となります。 複数の商品をご購入いただいた場合のお支払金額は、 単品の税込金額の合計額とは異なる場合がございますので、予めご了承ください。

  • ポスト

『Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術』は2016年8月1日に初版が刊行されて2年が経ちました。日々変更されるセキュリティリスクに対応するため、さまざまな項目が見直されています。本書でも最新の状況に対応するため、OWASP Top 10 - 2017に沿って内容を一新いたしました。改訂版では、改訂されたガイドラインの解説、追加された脆弱性の説明、診察する箇所の見直し、診断ツールの最新版に対応などを行っています。

本書はWebアプリケーションの脆弱性をチェックするための解説書です。Webアプリケーションはユーザーの個人情報や商品情報など重要な情報を扱っています。Webアプリケーションの開発者がセキュリティに自信がある場合でも、開発者の勘違いや設計ミスなどがあることでWebアプリケーションに侵入・改ざんなどが行われ、個人情報が盗まれる恐れがあります。

本書ではWebアプリケーションの開発に必要なセキュリティを確認するための脆弱性診断についてまとめています。脆弱性診断を行う際のスタンダードツールとなっているOWASP ZAPとBurp Suiteを使用することで、開発者やセキュリティ担当者がセキュリティに問題がないかを検査することができます。

本書の前半では、Webアプリケーションがどのような仕組みで通信をし、脆弱性がどのようなものかといった診断に必要なネットワークの知識を学んでいきます。後半では、実際に問題があるBadStoreというWebアプリケーションを使用し、仮想マシン上で実際に手を動かしながら脆弱性診断の手法を学んでいきます。診断の仕方はOWASP ZAPを使用して自動的に脆弱性診断を行う方法と、Burp Suiteを使用して手動でフォームなどのパラメータに検査パターンを挿入し診断する方法など様々な手法を解説しています。また、脆弱性診断を行う際に便利な脆弱性診断ガイドラインも付いています。

著者の上野宣はOWASP Japanの代表であり、脆弱性診断の第一人者です。脆弱性診断の手法を身に付けることで、セキュリティを客観的に判断することができますので、Webアプリケーションの開発者だけでなく、経営者の方にもおすすめの1冊です。

Webアプリケーションに潜む危険をなくそう!
豊富な図解でわかりやすい!

◆基礎編
第1章 脆弱性診断とは
 1-1 脆弱性診断とは「脆弱性を発見するためのテスト手法」
 1-2 本書の脆弱性診断対象とWebサイトの脆弱性対策
 1-3 脆弱性診断士に必要な知識や技術
 1-4 脆弱性診断士に求められる倫理観

第2章 診断に必要なHTTPの基本
 2-1 HTTPとは
 2-2 TCP/IPとHTTPの関係
 2-3 HTTPと関係深いプロトコル―IP・TCP・DNS
 2-4 URLとURI
 2-5 シンプルなプロトコルHTTP

第3章 Webアプリケーションの脆弱性
 3-1 Webアプリケーションへの攻撃とは
 3-2 インジェクション―Webアプリケーションの脆弱性
 3-3 認証―Webアプリケーションの脆弱性
 3-4 セッション管理の不備―Webアプリケーションの脆弱性
 3-5 情報漏えい―Webアプリケーションの脆弱性
 3-6 その他―Webアプリケーションの脆弱性

第4章 脆弱性診断の流れ
 4-1 診断業務の流れ
 4-2 診断実施前の準備
 4-3 脆弱性診断の実施手順

第5章 実習環境とその準備
 5-1 診断ツールのセットアップ
 5-2 診断のためのWebブラウザのセットアップ
 5-3 実習環境のセットアップ
 5-4 実際の診断の際の注意事項

◆実践編
第6章 自動診断ツールによる脆弱性診断の実施
 6-1 自動診断ツールを使った脆弱性診断の実施手順
 6-2 OWASP ZAPの基本操作
 6-3 OWASP ZAPに診断対象を記録
 6-4 OWASP ZAPで診断を実行

第7章 手動診断補助ツールによる脆弱性診断の実施
 7-1 手動診断補助ツールを使った脆弱性診断の実施手順
 7-2 Webアプリケーション脆弱性診断手法
 7-3 Burp Suiteの基本操作
 7-4 診断リストの作成
 7-5 Burp Suiteの各種ツールの使い方
 7-6 Burp Suiteを使った脆弱性診断
 7-7 より多くの脆弱性を発見するためのヒント集

第8章 診断報告書の作成
 8-1 診断報告書の記載事項
 8-2 総合評価と個別の脆弱性の報告
 8-3 リスク評価

第9章 関係法令とガイドライン
 9-1 脆弱性診断に関連する法律、ルール、基準など

◆付録
実習環境のセットアップ(Oracle VM VirtualBox)
 A-1 実習環境のセットアップ

各種問い合わせは以下のリンクからご連絡ください

感想・レビュー

kannkyo さん

2020-08-08

世にも珍しいwebサイトの脆弱性診断の入門書。この手の本を書いているのは上野氏くらいしかいないのではないかな。脆弱性診断ツールの使い方や脆弱性診断のためのFirefox設定方法まで細かく書いてある。また、ネット上の脆弱性診断に役立つ資料の紹介も豊富。まぁ、周りに診断のプロがいないときは「とりあえず読め」的な本よな。

えるぱ さん

2021-03-27

分かりやすく実践的に書かれていた。入門書としておすすめ。

関連商品

Kubernetesで実践する Platform Engineering

4,620円(税込)

2025.02.19発売

おすすめ特集

【2024年】SEshop人気書籍 ベスト20

2024年にSEshopで人気だった本を20冊ご紹介!IT技術、生成AI活用、マネジメント本など

プログラミング入門書大特集

翔泳社のプログラミング書籍の中から、入門・初級者向けの書籍をピックアップ!

エンジニア必携特集

【エンジニア必携特集】開発現場で使える!ITエンジニアの業務に役立つ書籍を一挙ご紹介

ライティングおすすめ本

ライティングのスキルアップにおすすめの本。Webライティングやコピーライティングなど

手帳術

毎日をもっと楽しく、充実させる手帳・ノートの活用術書をご紹介

電気工事技術者

第二種電気工事士、電験3種など、電気工事技術者関連の資格参考書はこちら

特集をもっと見る