2012年2月11日土曜日

[英⇒日]The Web Application Hacker's Handbook: Discovering and Exploiting Security Flaws

(Kindle版あり )

ISBN-10: 1118026470 | ISBN-13: 978-1118026472 | Edition: 2

高評価のセキュリティ本が完全に更新されて、新版となって帰ってくる
Webアプリケーションは、大半の組織の正面玄関であり、これを露出させることは、個人情報の漏洩、不正な処理の実行、あるいは一般ユーザーへの侵害、といった攻撃につながる。この実用的な本は、完全な更新と改訂がなされ、進化し続けるWebアプリケーションを狙った攻撃とその防御の最新手法を、ステップバイステップで解説していく。初版以降に登場したWebアプリケーションにおける新採用の様々な技術にもお目にかかれるだろう。新たに開発された攻撃手法、特にクライアント側に関連するものも調査している。
  • 以前の版以降に登場した、Webアプリケーションを攻撃から守ることを目指した新技術や新技法を出し抜く方法を明らかに
  • 新たなリモート処理フレームワーク、HTML5、クロスドメインの統合技術、UI偽装、framebusting、HTTPパラメータの汚染、ハイブリッドファイル攻撃、なども解説
  • 著者が主催する共用Webサイトでは、説明される攻撃を読者が試してみることができ、各章の終わりに提起されている質問への回答を配ったり、さらに手法の要約やタスクのチェックリストも掲載されている
近年物事が急速に移り変わるWebアプリケーションセキュリティの分野に焦点を当て、本書は、探査、攻撃利用、Webアプリケーションのセキュリティ上の欠陥の防止、といった重要なトピックに関する最新のリソースだ。

カスタマーレビュー

 (※以降第1版のレビュー)
★★★★★ あなたが知っておくべきすべてのこと 2008年1月16日
By Jeff Pike (Mechanicsville, VA United States)
これは、少なくとも過去一年で書かれた中で、最も重要なITセキュリティのタイトルだ。なぜ?カスタムWebアプリケーションでは、聞き及ぶ既知の脆弱性の すべての組み合わせに対する、悪用の機会より多くを与えてしまう。この本は、様々なサブジェクトへの専門治療を施してくれる。727ページのボリュームな がら、記述は非常に明確で簡潔であることがわかる。不手際も最小限だ。すべてが明確に説明されているが、これは初心者の本ではない。著者は、あなたが HTML、JavaScriptなどを読み取ることができることを前提としている..普通は、このような本でが、いくつかの章は本当に良く、いくつかのま あまあの章があるといったところだが、そのケースは本書には当てはまらない。この本の3-18章を通して、すべてが堅固だ。もう一つの大きなプラスとし て、この本のツールは無料だ。

最初の数章では、文脈や背景情報を提示している。第3章は、Webアプリケーション技術に関する章で、特に有用な背景情報を与えてくれる。次からの666ページはすべて、アプリケーションの攻撃についてのものだ。

次の5つの章では、アプリケーション機能のマッピング、クライアント·サイドのコントロール、認証、セッション、およびアクセス·コントロールを扱ってい る。範囲は網羅的だ。私はこれらのトピックに馴染みがないわけでもないが、それぞれの章で、かなりのことを学べた。到達範囲の深さは驚くべきものだ。

次の6章は、本書の心臓部だ。インジェクション、パストラバーサル、アプリケーション·ロジック、XSSと関連攻撃、自動攻撃、情報漏洩を扱っている。 SQLインジェクションやクロスサイトスクリプティングのようなお馴染みの攻撃法だけでなく、今までほとんど聞いたこともないような攻撃にも、完全な対処 法を見つけられるだろう。危険性は現実的であり、これらの章は必読だ。

続く最後の4つの章では、コンパイルされたアプリケーション、アプリケーションアーキテクチャ、Webサーバー、およびソースコードへの攻撃を扱っている。 最後の2つの章は、クイックリファレンスとしていっそう有用だ。本全体を通して扱われるツールの概要が提示され、攻撃の方法論といったそれぞれの技術を攻 撃に利用するため方法も、本全体を通して論じられている。

情報の妥当性と価値に基づけば、この本が5点を獲るのは容易いだろう。


★★★★★ 開発者とセキュリティのプロの両方の優れたリソース
By Seth Fogie

まず余談として - このレビューは、幾レベルかバイアスされていることを白状し、認めておこう。一般公開されているWebアプリケーションセキュリティのコミュニティは小さ いので、出版物やプレゼンテーションは、フィールド内の他の注目を引くし、会話/レビュー/ブログコメントも頻繁に起こるだろう。なぜこのような言及を? ええと、Dafyddは彼のブログで、 XSS Attacksの レビューをしていた。私が、この分野における他のはるかにビッグなプレーヤーとともに共著した本だ。私もBurpには少なからず敬意を持っているし、 Dafyddが書いたプログラムは、ウェブアプリの重要な書籍のほとんどすべてで強調表示されている。だから、私が著者と無関係だと言ったら、誤解を招く だろう - 控えめに言ってもね。

さて、この本についてだが - 買うしかない、失望することはまずないだろう。私はこの本を読み通して(いくつかのおなじみの章はざっと目を通しただけだが)、フルタイムのWebアプリ ケーションの侵入テスターが、いかに多くのことを知っている必要があるのかという事実に圧倒された - こういったことはすべて、この本ではあの手この手で言及されている。実際、他の本で競争できるものがあるとは考えられない...

この分野に慣れていない人でも、またセキュリティの専門家や、あるいはWeb開発者でも、この本の釣り糸をたぐらずにはいられないだろう。セキュアなWeb アプリケーションの開発における、さまざまな側面の例証と実証も良い出来だ。経験豊かな多くの専門家には、あなたの記憶をリフレッシュさせて、忘れてし まったトリックやテクニックを思いおこすためのリソースとしてこの本が機能することは間違いない。この目的で役に立ってくれることは、すでに私で確認済み だ...

それでは、この本のさらに詳細を、どのへんから紹介していきましょう?個人的に、私は第20章から読み始めました - Webアプリケーションハッカーの方法論の章です。ここを読むことで、生活のかなりの部分をWebアプリの分解に費やしている著者の思考を覗きこむことに なるだろう。また、本書がこのようなレイアウトになっている理由も理解できるだろう - 単に、攻撃/侵入テストが行​​われる手順の並びという理由ではあるが。すべてを詳細に理解することは期待せず、再読するものとしよう。ただし、この本 が、興味深く読めるもので、すぐに実用的なコーディング/攻撃テクニックに切り変わってくるだろうという感覚はすぐに得られるはずだ。

この本は、いくつかの大きな部分に分かれている。最初のセクションは、用語、概念、実行環境などに順応するためのもので、本の残りの部分の基礎となるもの だ。ここには、サーバテクノロジに関する主要な各セクションの概観も含まれ、Webアプリケーションの機能はどのようなものか、そしてあなたが攻撃にさら される露出部の概要を説明しています。

次のセクションでは、攻撃者の観点から、後の分析のためにアプリケーションをマッピングするさまざまな方法を例証しながら、Webアプリケーションを見てい く。あなたがWeb開発者であれば、説明されるテクニックのひとつまたは複数は、サイト上に格納されている情報に少なからず懸念をもたらすものだというこ とを知る機会になるだろう - あなたのWeb​​サーバー上のものが安全だなんて思い込むことはもうできなくなるだろう。

​ ​この大きなセクションは、本書の中でも特に楽しいことが見つかる場所だ。基本的に、著者らは、次のWebアプリケーション攻撃を段階を追いながら実演し ていく - 認証、セッション管理、アクセス制御、コードインジェクション、Webサーバのバグ、ロジックエラー、そしてコンパイルされたアプリケーションのリバース エンジニアリング。各セクションでは、Webアプリケーションハッカーが(良くも悪くも)目標を達成するために使用する、攻撃経路とテクニックのほとんど すべてを、深く、包括的に把握できるだろう。

この本の素晴らしい点の一つは、理論だけにはとどまらないところです。問題を説明する実用的な先の尖った実例が含まれていて、しかし、目的のないソースコー ドで何ページもつかってスペースを埋めるだとかして、読者の時間を無駄にするようなことはない。736ページにわたって、この本には、埋め物の入り込む余 地はない。

攻 撃利用の例に加えて、著者らはまた、必要とされる `防護"の側面もとりあげ、Web開発者が、特定の攻撃に対して、どのようにアプリケーションを強化したらよいのかといったことを理解できるようにしてい る。私の経験では、Webアプリケーションを保護する方法を知ることは、多くの場合それを破る方法を知るより困難だ - だから、本書のこの部分を見ると、著者の洞察力の指標にできるだろう。

私が細心の注意を払った3つのセクションがある - 対象が私の仕事に関わるものだというのも理由の一つではあるが、提示されるコンセプトを私が気に入ったからでもある。ひとつめは11章、アプリケーショ ン·ロジックの攻撃を扱う章だ。この章では、著者らは、Function - Assumption - Attackプロセスを用いて、問題とその攻撃利用の方法を浮かび上がらせる。論理エラーは100%ヒューマンエラーに基づくものなので、良い例なしに分 類したり説明することは非常に困難だ。だから、他の人がどのように失敗したのか、攻撃がどのような障害をもたらしたのか、といったことを確認することに なったのだが、まるで物語のように読めた。

次のセクションは、第12章 - 他のユーザーへの攻撃だ。このセクションでは、XSS、XSRF、などの主題に跳び込んでいく - 全体を通して、私のXSS攻撃に関する著作と同様に、楽しめるものだった。

そして最後に、だが軽んじてはならないのは、しばしば見過ごされているWebアプリケーションのセキュリティの一側面を論じていることで、私が本当に気に 入っている - クライアントサイドの `シック·クライアント"でのリバースエンジニアリングだ。これが、Flash、Java、ActiveX、またはC + +のいずれでコード化されたプログラムだったとしても、クライアント側のコードをリバースエンジニアリングして、Webベースのアプリケーションに予期し ないコンテンツを挿入することが可能になってしまう。だから、この攻撃ベクトルを提示した著者には、称賛を送りたい。

それでは、本に何か問題はあるだろうか?まあ、厚いという事実を除いて - ない。この本はそこにある攻撃のほとんどすべてを理解するための優れた方法であり、あらゆるWeb開発者/セキュリティの専門家にとって貴重なリソースと なるだろう。主題に関するより具体的な詳細を知りたい場合は、その資料はさまざまな場所で見つかります - Cross Site Scripting Attacks: XSS Exploits and Defense, The Database Hacker's Handbook: Defending Database Servers, and Exploiting Online Games: Cheating Massively Distributed Systems (Addison-Wesley Software Security Series) が例です。

以上をまとめてみよう。The Web Application Hackers Handbookは、投資の価値がある、買いに行こう。



 ★★★★★ 初心者向けにも経験者向けとしても傑出している
By  R. Wesley McGrew
たとえ文字をお読みになる前であっても、"The Web Application Hacker's Handbook: Discovering and Exploiting Security Flaws"は、二つの理由からあなたの関心を惹くはずだ。第一点は、タイトルとカバーアートで、 Webセキュリティにおいて対をなす"The Shellcoder's Handbook"のWiley社によるものだ。私はすでに肯定的な評価を与えている第二の理由は、本が到着するまで私は気づいていなかったのだが、著者 のひとり、Dafydd Stuttardは、Burp Suiteという、Webアプリケーションの探索と攻撃利用のための、優れたツールの作者であるということだ。私はそのプロキシ機能を頻繁に使用してい て、そしてその唯一の理由が、ラップトップにJava VMをインストールしているからだということを、よく人に言っている。私は、そのような偉大なツールのセットの作成者によるWebアプリケーションのセ キュリティを読めることに非常に興奮し、そしてそれは私を失望させることはなかった。

私は、Webアプリケーションの攻撃に焦点を当てた他の本を読んでいないので、比較するものがないことは白状しておこう。とはいえ、私が言えることは、この 本は、アプリケーションのマッピングから攻撃利用まで、完全に徹底的にトピックを網羅しているということだ。数々の一般的な攻撃が扱われているが(例え ば、クロスサイトスクリプティングやSQLインジェクションなど)、本書の真の価値は、脆弱性を見つけるプロセスを教えてくれるところだ。これで武装すれ ば、あなたが探す、アプリケーションに固有の論理エラーを伴う問題を、より効果的に発見することができるだろう。この本は最初から最後までとてもよくでき ていて、それぞれの章では、作者がまとめたWebアプリケーションをハッカーの方法論を、それぞれまったく異なる手順で構築していく​​。

扱うトピックは、メーリングリスト上でアプリケーションの日報に開示されるような脆弱性の大部分を包含している。特定の攻撃のための章立てというよりむし ろ、著者らが収集したもの有意なカテゴリごとに分けて、関連するコンテンツと一緒に提示している。たとえば、SQLインジェクションおよびremote- file-inclusionは、 "Injecting Code"の章に配置されている。同様に、クロスサイトスクリプティング攻撃、セッション固定、リクエスト·フォージェリは、 "他のユーザーへの攻撃"の章が扱っている。はじめのほうにある"Webアプリケーションの技術"の章には入門資料があるが、しかしこの本を手に取るので あれば、Webアプリケーションの仕事や、開発者の観点、または攻撃の基礎への理解、のどれかに多少なりとも馴染みがあるほうが望ましいだろう。各章の終 わりにある質問は、読者が各章の本質を理解しているかをテストするようにデザインされており、私は、少なくともそれを読んで、いくつか考えを得られるくら いには役に立ったと考えています。Webセキュリティの入門者の方ならおそらく、それぞれの質問が焦点を当てるものから、多くの価値を得られるだろう。

このような大規模な本において、明らかなエラーに出会わなかったというのは、非常にうれしい驚きだ。本のためのウェブサイトは非常に完全で、各章の終わりの 質問すべてに対する答え、ある章で開発したツールのソースコード、文中で説明されるツールのリスト、および最後の章で説明する方法論のチェックリスト、と いったものが掲載されている。あなたがWebアプリケーションのセキュリティに関心を持っているのであれば、この本を手に取ることを強くおすすめしたい。 とりわけアプリケーションの脆弱性の監査に興味があるのであればなおさらだ。さらに、Webアプリケーションの開発者にとっても、この本にはたくさんのメ リットがあるだろう。あなたのアプリケーションに対する攻撃がどのように行われるかを知っておくのは重要で、本書には各攻撃の軽減策が記載されている。

私はこの本を楽しめたし、載っているテクニックが有用だと分かったので、手法を活用することも計画している。
 
 
時刻:
ラベル: , ,

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)