PHPサイバーテロの技法―攻撃と防御の実際
今までもWebアプリケーションのセキュリティに関して書かれた本はありましたが、この本が一番分かりやすく、かつ具体的な対処方法が明記されているものはなかったと思います。
まず、防御するまえに攻撃手法に関して基本から学び、その後各攻撃手法に関しての防御方法、対処方法を学ぶ。さらにアプリケーション作成後の脆弱性の確認方法までをカバーしている。
攻撃方法を学ぶ上で実験台となるローカルサーバの立て方、スクリプトの用意など初心者にも大変助かる内容になっていると思います。
さらにTelnetを使用してHTTPリクエストの解説や、ツールを使用しての脆弱性のチェックなど、今までのセキュリティ対策の本にはなかった内容ではないでしょうか。
PHPに絞って書かれてはいますが、全てのWebアプリケーション制作者、Web管理者にとって有益な情報になると思います。
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
レビューワーを公募して、その筋に関係ある人を巻き込んで、完成したスキの無い本。
かといって、技術にばかり傾倒している訳でもなく、幅広い分野に対応しすごく読みやすい。
図表と文のバランスもよく、ワンポイントで参照するにも便利。
とりあえず初心者にはこれかっとけ→「プロになるためのWeb技術入門」 ――なぜ、あなたはWebシステムを開発できないのかとおすすめできるように、Webアプリでセキュリティが気になるやつはこれ買っとけ! 損はしないぜ! って感じです。
Hacking: 美しき策謀 第2版 ―脆弱性攻撃の理論と実際
英語ができない方、「ついに来た!」と思った方も多いんじゃないだろうか。
私もそんな感じです。6章と7章の攻撃と防御の共進化と暗号学なんて
ソースコード見てもイメージが全くわかなかったけどこれで勝てる気がしてきました。
それと、本が地味に小さくなり、持ち運べそうなサイズになりました。
さて、レビューですが、最近セキュリティに対して注目も強くなっていますが
そんなセキュリティについて学びたいと思っている方にはうってつけの本です。
現段階で和書ではこれを超える本は無いんじゃないかと思っています。
ただ、これは最も基本的な話であってwebに関して(XSSとか)は書いていません。
オーバーフローとかシェルコードとかそういうのがメインです。
この本に書いていないことはmetasploitとかのツール関連、WebSecurity関係、
IDAやimmunityなどのdebugger関係(GDBについては書いてある)、Windows関係(DEPやSEH)
こんなところかな・・・?でも、この本読みきれば、ネットから情報引っ張って
理解できるくらいの知識はつくはず。
最後に
「これから先、セキュリティについては更に難しくなるだろう。昔みたいに、遊び半分では行えない」
と、ある米セキュリティー専門家が言っています。
私として何が言いたいかというと、この本に書いてあるようなことは地味に煮詰まりつつあり、Web関係やMalware関係のセキュリティについて考えていた方が、良いかもしれないということ。この本は実際問題CTFに役に立てるくらいしかできないかもしれません。と最後に言っておきます。
ただ、この本に書いてあること自体、コンピューターに興味がある人から見れば面白いことが書いてあるので、普通のプログラマーからノンプログラマーまで、読んでみると新たな発見があるかもしれない?!