book

Web アプリケーションセキュリティ

Name: Web アプリケーションセキュリティ
Author: Andrew Hoffman
ISBN: 9798341651111

by Andrew Hoffman

May 2025

Beginner to intermediate

330 pages

4h 34m

Japanese

O'Reilly Media, Inc.

Read now

Unlock full access

序文
前提知識と学習目標推奨される背景最低限必要なスキルこの本を読み、最も利点があるのは誰か？ソフトウェア・エンジニアおよびウェブ・アプリケーション開発者一般化された学習目標セキュリティエンジニア、ペンテスター、バグバウンティハンター本書はどのように構成されているのか？リコン攻撃ディフェンス言語と用語概要本書で使用されている慣例オライリー・オンライン・ラーニング問い合わせ先
1.ソフトウェア・セキュリティの歴史
ハッキングの起源エニグマ・マシン、1930年頃自動エニグマ暗号解読、1940年頃"ボンベ "の紹介1950年頃、電話の「プリーキング1960年頃、アンチフレーキング・テクノロジーコンピュータ・ハッキングの起源、1980年頃ワールド・ワイド・ウェブの台頭、2000年頃現代のハッカーたち、2015年以降概要
I.リコン
2.ウェブ・アプリケーション偵察入門
情報収集ウェブアプリケーションのマッピング概要
3.最新のウェブアプリケーションの構造
最新のウェブアプリケーションとレガシーアプリケーションREST APIJavaScriptオブジェクト記法JavaScript変数とスコープ関数コンテクストプロトタイプ継承非同期ブラウザDOMSPAフレームワーク認証認可システム認証認可ウェブサーバサーバ側データベースクライアント側データストア概要
4.サブドメインを発見する
ドメインごとに複数のアプリケーションブラウザ内蔵のネットワーク分析ツール公文書を活用する検索エンジンのキャッシュ偶然のアーカイブソーシャル・スナップショットゾーン・トランスファー攻撃ブルート・フォース・サブドメイン辞書攻撃概要
5.API分析
エンドポイントディスカバリー認証メカニズムエンドポイントの形状一般的な形状アプリケーション固有の形状概要
6.サードパーティの依存関係を特定する
クライアント側フレームワークを検出するSPAフレームワークを検出するJavaScriptライブラリを検出するCSSライブラリを検出するサーバ側フレームワークを検出するヘッダ検出デフォルトのエラーメッセージと404ページデータベースの検出概要
7.アプリケーションアーキテクチャの弱い点を特定する
安全なアーキテクチャ信号と安全でないアーキテクチャ信号の比較複数のセキュリティ・レイヤー採用と再発明概要
8.第1部まとめ

II.犯罪
9.ウェブアプリケーションのハッキング入門
ハッカーのマインドセットアプライド・レコン
10.クロスサイト・スクリプティング（XSS）
XSSの発見と悪用保存されたXSS反射型XSSDOMベースのXSS突然変異ベースのXSS概要
11.クロスサイト・リクエスト・フォージェリ(CSRF)
クエリ・パラメータの改ざん代替GETペイロードPOSTエンドポイントに対するCSRF概要
12.XML外部エンティティ（XXE）
ダイレクトXXE間接的XXE概要
13.インジェクション
SQLインジェクションコード・インジェクションコマンド・インジェクション概要
14.サービス拒否（DoS）
正規表現DoS (ReDoS)論理的DoS脆弱性分散型DoS概要
15.サードパーティの依存関係を利用する
統合のメソッド枝とフォーク自己ホスト型アプリケーション統合ソースコードの統合パッケージ・マネージャーJavaScriptJavaその他の言語共通脆弱性・暴露データベース概要
16.パート II まとめ
III.防衛
17.最新のウェブアプリケーションのセキュリティ
ディフェンシブ・ソフトウェア・アーキテクチャ包括的コードレビュー脆弱性の発見脆弱性分析脆弱性管理回帰テスト緩和戦略応用偵察と攻撃テクニック
18.セキュア・アプリケーション・アーキテクチャ
機能要件を分析する認証認可セキュア・ソケット・レイヤーとトランスポート・レイヤー・セキュリティ安全な資格情報資格情報のハッシュ化2FAPIIと財務データ検索概要
19.セキュリティのためにコードをレビューする
コードレビューの始め方典型的な脆弱性とカスタムロジックバグの比較セキュリティの見直しはどこから始めるべきかセキュアコーディングのアンチパターンブラックリストボイラープレート・コードデフォルトによる信頼のアンチパターンクライアントとサーバの分離概要
20.脆弱性の発見
セキュリティ・オートメーション静的解析動的解析脆弱性回帰テスト責任ある情報開示プログラムバグ報奨金プログラム第三者による侵入テスト概要
21.脆弱性管理
脆弱性を再現する脆弱性の深刻度ランキング共通脆弱性採点システムCVSS：ベーススコアリングCVSS：テンポラルスコアリングCVSS：環境スコアリング高度な脆弱性スコアリングトリアージと採点を超えて概要
22.XSS攻撃からの防御
アンチXSSコーディングのベストプラクティスユーザ入力をサニタイズするDOMParser シンクSVGシンクブロブ・シンクハイパーリンクを消毒するHTML エンコーディングCSSXSS対策のためのコンテンツ・セキュリティ・ポリシースクリプト・ソース安全でない楕円球と安全でないインラインCSPの実装概要
23.CSRF攻撃からの防御
ヘッダ検証CSRFトークンステートレスCSRFトークンCRSF対策コーディングのベストプラクティスステートレスGETリクエストアプリケーション全体のCSRF対策概要
24.XXEに対するディフェンス
他のデータ形式を評価する高度なゼクシオのリスク概要
25.インジェクションに対するディフェンス
SQLインジェクションを緩和するSQLインジェクションを検出する準備された文データベース特有の防御策ジェネリック注射の防御潜在的な注射ターゲット最小権限の原則ホワイトリストのコマンド概要
26.DoSから身を守る
正規表現DoSから身を守る論理DoSから守るDDoSから身を守るDDoS緩和概要
27.サードパーティの依存関係を確保する
ディペンデンシー・ツリーを評価する依存関係ツリーをモデリングする実世界での依存関係ツリー自動評価安全な統合テクニック懸念の分離安全なパッケージ管理概要
28.パートIII まとめ
ソフトウェア・セキュリティの歴史ウェブアプリケーションの偵察攻撃ディフェンス
29.結論
インデックス

Overview

この作品はAIを使って翻訳されている。ご意見、ご感想をお待ちしている：translation-feedback@oreilly.com

ネットワークおよび IT セキュリティに関するリソースは数多くあるが、最新の Web アプリケーションセキュリティに関する詳細な知識はこれまで不足していた。この実践的なガイドでは、ソフトウェアエンジニアが簡単に習得して適用できる、攻撃と防御の両方のセキュリティ概念を紹介している。

Salesforce のシニアセキュリティエンジニアであるアンドルー・ホフマンが、Web アプリケーションセキュリティの 3 つの柱、すなわち「偵察」、「攻撃」、「防御」を紹介する。ディレクトリにアクセスできないものも含め、最新の Web アプリケーションを効果的に調査、分析する方法を学ぶことができる。また、最新のハッキングテクニックを使用して Web アプリケーションに侵入する方法も学ぶ。最後に、ハッカーから保護するために、自分の Web アプリケーションで使用する対策を開発する方法も学ぶ。

今日の Web アプリケーションを悩ませている一般的な脆弱性を探る
アプリケーションを悪用するために攻撃者が使用する基本的なハッキングテクニックを学ぶ
直接アクセスできない Web アプリケーションのマッピングと文書化
一般的な防御を迂回できるカスタマイズされたエクスプロイトを開発、デプロイする
ハッカーからアプリケーションを保護するための対策を開発、デプロイする
開発ライフサイクルにセキュアコーディングのベストプラクティスを統合する
Web アプリケーションの全体的なセキュリティを向上させるための実践的なヒントを得る

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Publisher Resources

ISBN: 9798341651111

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills