おわりに

本書では、Webアプリケーションに対する侵入テストである「Webペネトレーションテスト」を題材とし、対象システムに対するOSINT調査や脆弱性調査、またゴール達成に向けた思考方法や攻撃手法について解説してきました。

読者の中には、「こんな基本的な脆弱性がまだ残っているのか」と思った方もいるかもしれません。しかし、Webアプリケーションは日々進化しており、新たな機能の追加や修正などが常に行われています。その過程において、脆弱性も新たに作り込まれ続けている、というのが現実です。近年では、DevSecOpsと呼ばれるようなセキュリティを意識した開発が進んでいるとはいえ、複雑な脆弱性だけでなく、簡単な脆弱性も依然として存在し続けています。

本書で扱った内容は、主に攻撃者・ペンテスターの目線でWebアプリケーションの脆弱性を調査し評価するための手法や思考方法が中心となっていますが、これらは開発者にとっても有益な知識だと考えています。より堅牢なWebアプリケーションを開発するためには、システムにどのような脆弱性があるかを調査するペンテスターだけでなく、開発者自身がセキュリティの視点を持ち、脆弱性を意識した設計や実装を心がけることが重要です。

また、本書で紹介した具体的な攻撃手法や脆弱性の検証方法は、代表的な例を抜粋したものです。Webアプリケーションを取り巻く技術は常に進化しており、新たな脆弱性や攻撃手法も日々発見されています。そのため、ペネトレーションテストを実施する際は、最新の情報を常にキャッチアップし、柔軟に対応できるよう心掛けることが重要です。Webペネトレーションテストの過程で新たな技術や概念に触れるということもあるでしょうが、これらを理解し、実践に活かすことで、より高度なセキュリティスキルを身につけることができるでしょう。 ...