(※以降第1版のレビュー)
★★★★★ あなたが知っておくべきすべてのこと 2008年1月16日
By Jeff Pike (Mechanicsville, VA United States)
これは、少なくとも過去一年で書かれた中で、最も重要なITセキュリティのタイトルだ。なぜ?カスタムWebアプリケーションでは、聞き及ぶ既知の脆弱性の
すべての組み合わせに対する、悪用の機会より多くを与えてしまう。この本は、様々なサブジェクトへの専門治療を施してくれる。727ページのボリュームな
がら、記述は非常に明確で簡潔であることがわかる。不手際も最小限だ。すべてが明確に説明されているが、これは初心者の本ではない。著者は、あなたが
HTML、JavaScriptなどを読み取ることができることを前提としている..普通は、このような本でが、いくつかの章は本当に良く、いくつかのま
あまあの章があるといったところだが、そのケースは本書には当てはまらない。この本の3-18章を通して、すべてが堅固だ。もう一つの大きなプラスとし
て、この本のツールは無料だ。
最初の数章では、文脈や背景情報を提示している。第3章は、Webアプリケーション技術に関する章で、特に有用な背景情報を与えてくれる。次からの666ページはすべて、アプリケーションの攻撃についてのものだ。
次の5つの章では、アプリケーション機能のマッピング、クライアント·サイドのコントロール、認証、セッション、およびアクセス·コントロールを扱ってい
る。範囲は網羅的だ。私はこれらのトピックに馴染みがないわけでもないが、それぞれの章で、かなりのことを学べた。到達範囲の深さは驚くべきものだ。
次の6章は、本書の心臓部だ。インジェクション、パストラバーサル、アプリケーション·ロジック、XSSと関連攻撃、自動攻撃、情報漏洩を扱っている。
SQLインジェクションやクロスサイトスクリプティングのようなお馴染みの攻撃法だけでなく、今までほとんど聞いたこともないような攻撃にも、完全な対処
法を見つけられるだろう。危険性は現実的であり、これらの章は必読だ。
続く最後の4つの章では、コンパイルされたアプリケーション、アプリケーションアーキテクチャ、Webサーバー、およびソースコードへの攻撃を扱っている。
最後の2つの章は、クイックリファレンスとしていっそう有用だ。本全体を通して扱われるツールの概要が提示され、攻撃の方法論といったそれぞれの技術を攻
撃に利用するため方法も、本全体を通して論じられている。
情報の妥当性と価値に基づけば、この本が5点を獲るのは容易いだろう。
★★★★★ 開発者とセキュリティのプロの両方の優れたリソース
By Seth Fogie
まず余談として -
このレビューは、幾レベルかバイアスされていることを白状し、認めておこう。一般公開されているWebアプリケーションセキュリティのコミュニティは小さ
いので、出版物やプレゼンテーションは、フィールド内の他の注目を引くし、会話/レビュー/ブログコメントも頻繁に起こるだろう。なぜこのような言及を?
ええと、Dafyddは彼のブログで、 XSS Attacksの
レビューをしていた。私が、この分野における他のはるかにビッグなプレーヤーとともに共著した本だ。私もBurpには少なからず敬意を持っているし、
Dafyddが書いたプログラムは、ウェブアプリの重要な書籍のほとんどすべてで強調表示されている。だから、私が著者と無関係だと言ったら、誤解を招く
だろう - 控えめに言ってもね。
さて、この本についてだが -
買うしかない、失望することはまずないだろう。私はこの本を読み通して(いくつかのおなじみの章はざっと目を通しただけだが)、フルタイムのWebアプリ
ケーションの侵入テスターが、いかに多くのことを知っている必要があるのかという事実に圧倒された -
こういったことはすべて、この本ではあの手この手で言及されている。実際、他の本で競争できるものがあるとは考えられない...
この分野に慣れていない人でも、またセキュリティの専門家や、あるいはWeb開発者でも、この本の釣り糸をたぐらずにはいられないだろう。セキュアなWeb
アプリケーションの開発における、さまざまな側面の例証と実証も良い出来だ。経験豊かな多くの専門家には、あなたの記憶をリフレッシュさせて、忘れてし
まったトリックやテクニックを思いおこすためのリソースとしてこの本が機能することは間違いない。この目的で役に立ってくれることは、すでに私で確認済み
だ...
それでは、この本のさらに詳細を、どのへんから紹介していきましょう?個人的に、私は第20章から読み始めました -
Webアプリケーションハッカーの方法論の章です。ここを読むことで、生活のかなりの部分をWebアプリの分解に費やしている著者の思考を覗きこむことに
なるだろう。また、本書がこのようなレイアウトになっている理由も理解できるだろう -
単に、攻撃/侵入テストが行われる手順の並びという理由ではあるが。すべてを詳細に理解することは期待せず、再読するものとしよう。ただし、この本
が、興味深く読めるもので、すぐに実用的なコーディング/攻撃テクニックに切り変わってくるだろうという感覚はすぐに得られるはずだ。
この本は、いくつかの大きな部分に分かれている。最初のセクションは、用語、概念、実行環境などに順応するためのもので、本の残りの部分の基礎となるもの
だ。ここには、サーバテクノロジに関する主要な各セクションの概観も含まれ、Webアプリケーションの機能はどのようなものか、そしてあなたが攻撃にさら
される露出部の概要を説明しています。
次のセクションでは、攻撃者の観点から、後の分析のためにアプリケーションをマッピングするさまざまな方法を例証しながら、Webアプリケーションを見てい
く。あなたがWeb開発者であれば、説明されるテクニックのひとつまたは複数は、サイト上に格納されている情報に少なからず懸念をもたらすものだというこ
とを知る機会になるだろう - あなたのWebサーバー上のものが安全だなんて思い込むことはもうできなくなるだろう。
この大きなセクションは、本書の中でも特に楽しいことが見つかる場所だ。基本的に、著者らは、次のWebアプリケーション攻撃を段階を追いながら実演し
ていく -
認証、セッション管理、アクセス制御、コードインジェクション、Webサーバのバグ、ロジックエラー、そしてコンパイルされたアプリケーションのリバース
エンジニアリング。各セクションでは、Webアプリケーションハッカーが(良くも悪くも)目標を達成するために使用する、攻撃経路とテクニックのほとんど
すべてを、深く、包括的に把握できるだろう。
この本の素晴らしい点の一つは、理論だけにはとどまらないところです。問題を説明する実用的な先の尖った実例が含まれていて、しかし、目的のないソースコー
ドで何ページもつかってスペースを埋めるだとかして、読者の時間を無駄にするようなことはない。736ページにわたって、この本には、埋め物の入り込む余
地はない。
攻
撃利用の例に加えて、著者らはまた、必要とされる
`防護"の側面もとりあげ、Web開発者が、特定の攻撃に対して、どのようにアプリケーションを強化したらよいのかといったことを理解できるようにしてい
る。私の経験では、Webアプリケーションを保護する方法を知ることは、多くの場合それを破る方法を知るより困難だ -
だから、本書のこの部分を見ると、著者の洞察力の指標にできるだろう。
私が細心の注意を払った3つのセクションがある -
対象が私の仕事に関わるものだというのも理由の一つではあるが、提示されるコンセプトを私が気に入ったからでもある。ひとつめは11章、アプリケーショ
ン·ロジックの攻撃を扱う章だ。この章では、著者らは、Function - Assumption -
Attackプロセスを用いて、問題とその攻撃利用の方法を浮かび上がらせる。論理エラーは100%ヒューマンエラーに基づくものなので、良い例なしに分
類したり説明することは非常に困難だ。だから、他の人がどのように失敗したのか、攻撃がどのような障害をもたらしたのか、といったことを確認することに
なったのだが、まるで物語のように読めた。
次のセクションは、第12章 - 他のユーザーへの攻撃だ。このセクションでは、XSS、XSRF、などの主題に跳び込んでいく - 全体を通して、私のXSS攻撃に関する著作と同様に、楽しめるものだった。
そして最後に、だが軽んじてはならないのは、しばしば見過ごされているWebアプリケーションのセキュリティの一側面を論じていることで、私が本当に気に
入っている - クライアントサイドの
`シック·クライアント"でのリバースエンジニアリングだ。これが、Flash、Java、ActiveX、またはC +
+のいずれでコード化されたプログラムだったとしても、クライアント側のコードをリバースエンジニアリングして、Webベースのアプリケーションに予期し
ないコンテンツを挿入することが可能になってしまう。だから、この攻撃ベクトルを提示した著者には、称賛を送りたい。
以上をまとめてみよう。The Web Application Hackers Handbookは、投資の価値がある、買いに行こう。
★★★★★ 初心者向けにも経験者向けとしても傑出している
By R. Wesley McGrew
たとえ文字をお読みになる前であっても、"The Web Application Hacker's Handbook: Discovering
and Exploiting Security Flaws"は、二つの理由からあなたの関心を惹くはずだ。第一点は、タイトルとカバーアートで、
Webセキュリティにおいて対をなす"The Shellcoder's
Handbook"のWiley社によるものだ。私はすでに肯定的な評価を与えている第二の理由は、本が到着するまで私は気づいていなかったのだが、著者
のひとり、Dafydd Stuttardは、Burp
Suiteという、Webアプリケーションの探索と攻撃利用のための、優れたツールの作者であるということだ。私はそのプロキシ機能を頻繁に使用してい
て、そしてその唯一の理由が、ラップトップにJava
VMをインストールしているからだということを、よく人に言っている。私は、そのような偉大なツールのセットの作成者によるWebアプリケーションのセ
キュリティを読めることに非常に興奮し、そしてそれは私を失望させることはなかった。
私は、Webアプリケーションの攻撃に焦点を当てた他の本を読んでいないので、比較するものがないことは白状しておこう。とはいえ、私が言えることは、この
本は、アプリケーションのマッピングから攻撃利用まで、完全に徹底的にトピックを網羅しているということだ。数々の一般的な攻撃が扱われているが(例え
ば、クロスサイトスクリプティングやSQLインジェクションなど)、本書の真の価値は、脆弱性を見つけるプロセスを教えてくれるところだ。これで武装すれ
ば、あなたが探す、アプリケーションに固有の論理エラーを伴う問題を、より効果的に発見することができるだろう。この本は最初から最後までとてもよくでき
ていて、それぞれの章では、作者がまとめたWebアプリケーションをハッカーの方法論を、それぞれまったく異なる手順で構築していく。
扱うトピックは、メーリングリスト上でアプリケーションの日報に開示されるような脆弱性の大部分を包含している。特定の攻撃のための章立てというよりむし
ろ、著者らが収集したもの有意なカテゴリごとに分けて、関連するコンテンツと一緒に提示している。たとえば、SQLインジェクションおよびremote-
file-inclusionは、 "Injecting
Code"の章に配置されている。同様に、クロスサイトスクリプティング攻撃、セッション固定、リクエスト·フォージェリは、
"他のユーザーへの攻撃"の章が扱っている。はじめのほうにある"Webアプリケーションの技術"の章には入門資料があるが、しかしこの本を手に取るので
あれば、Webアプリケーションの仕事や、開発者の観点、または攻撃の基礎への理解、のどれかに多少なりとも馴染みがあるほうが望ましいだろう。各章の終
わりにある質問は、読者が各章の本質を理解しているかをテストするようにデザインされており、私は、少なくともそれを読んで、いくつか考えを得られるくら
いには役に立ったと考えています。Webセキュリティの入門者の方ならおそらく、それぞれの質問が焦点を当てるものから、多くの価値を得られるだろう。
このような大規模な本において、明らかなエラーに出会わなかったというのは、非常にうれしい驚きだ。本のためのウェブサイトは非常に完全で、各章の終わりの
質問すべてに対する答え、ある章で開発したツールのソースコード、文中で説明されるツールのリスト、および最後の章で説明する方法論のチェックリスト、と
いったものが掲載されている。あなたがWebアプリケーションのセキュリティに関心を持っているのであれば、この本を手に取ることを強くおすすめしたい。
とりわけアプリケーションの脆弱性の監査に興味があるのであればなおさらだ。さらに、Webアプリケーションの開発者にとっても、この本にはたくさんのメ
リットがあるだろう。あなたのアプリケーションに対する攻撃がどのように行われるかを知っておくのは重要で、本書には各攻撃の軽減策が記載されている。
私はこの本を楽しめたし、載っているテクニックが有用だと分かったので、手法を活用することも計画している。