まえがき

今日、Webアプリケーションは重要な情報や資産を取り扱うようになり、セキュリティインシデントが発生した際の影響も大きくなってきています。こうした背景から、ペネトレーションテスト（侵入テスト）などを通じて事前に問題点を洗い出し、対策することが求められるようになってきました。

本書タイトルにある「Webペネトレーションテスト」は、このようなWebアプリケーションに対するペネトレーションテストを指す言葉です。ペネトレーションテストに関する書籍や、Webアプリケーションの脆弱性やセキュリティ対策に関する書籍は様々に存在する一方で、現在も需要の高まっているWebペネトレーションテストを扱った書籍は多くありません。本書は、この空白を埋めるべく企画されました。

本書の著者3名は、日々Webペネトレーションテストに従事し、様々な脆弱性や問題を報告しています。本書の執筆にあたっては、セキュリティ専門家のみならず、システムの開発・運用に携わるソフトウェアエンジニアにとっても有用な書籍となることを意識しました。攻撃者の視点を理解することで、システムを開発・運用する際に先回りして穴を防ぐことが可能となるためです。

そのため本書では、特定のツールの使い方そのものよりも、調査手法の本質や、Webアプリケーションで作り込みやすい脆弱性、そしてその悪用手法を中心に、また今後も役に立つであろうものを紹介しています。加えて、こういった知識は読むだけではなく、自ら手を動かして検証することで身につきやすくなります。本書では脆弱性を含むWebアプリケーションをいくつか用意しましたので、可能な限り手を動かしながら読んでいただけると幸いです。

実際のWebペネトレーションテストでは、Webサービスそのものやその実装が特殊であることは珍しくなく、著者である我々も日々のテストを通じて新しい発見や新たな知識を得ています。本書に記載しきれなかった内容は数多くありますが、Webペネトレーションテストを実施する方、Webアプリケーションに関わる方にとって、本書が知識の礎となれば幸いです。 ...