book

Web アプリケーションセキュリティ

Name: Web アプリケーションセキュリティ
Author: Andrew Hoffman
ISBN: 9798341651111

by Andrew Hoffman

May 2025

Beginner to intermediate

330 pages

4h 34m

Japanese

O'Reilly Media, Inc.

Read now

Unlock full access

序文
前提知識と学習目標推奨される背景最低限必要なスキルこの本を読み、最も利点があるのは誰か？ソフトウェア・エンジニアおよびウェブ・アプリケーション開発者一般化された学習目標セキュリティエンジニア、ペンテスター、バグバウンティハンター本書はどのように構成されているのか？リコン攻撃ディフェンス言語と用語概要本書で使用されている慣例オライリー・オンライン・ラーニング問い合わせ先
1.ソフトウェア・セキュリティの歴史
ハッキングの起源エニグマ・マシン、1930年頃自動エニグマ暗号解読、1940年頃"ボンベ "の紹介1950年頃、電話の「プリーキング1960年頃、アンチフレーキング・テクノロジーコンピュータ・ハッキングの起源、1980年頃ワールド・ワイド・ウェブの台頭、2000年頃現代のハッカーたち、2015年以降概要
I.リコン
2.ウェブ・アプリケーション偵察入門
情報収集ウェブアプリケーションのマッピング概要
3.最新のウェブアプリケーションの構造
最新のウェブアプリケーションとレガシーアプリケーションREST APIJavaScriptオブジェクト記法JavaScript変数とスコープ関数コンテクストプロトタイプ継承非同期ブラウザDOMSPAフレームワーク認証認可システム認証認可ウェブサーバサーバ側データベースクライアント側データストア概要
4.サブドメインを発見する
ドメインごとに複数のアプリケーションブラウザ内蔵のネットワーク分析ツール公文書を活用する検索エンジンのキャッシュ偶然のアーカイブソーシャル・スナップショットゾーン・トランスファー攻撃ブルート・フォース・サブドメイン辞書攻撃概要
5.API分析
エンドポイントディスカバリー認証メカニズムエンドポイントの形状一般的な形状アプリケーション固有の形状概要
6.サードパーティの依存関係を特定する
クライアント側フレームワークを検出するSPAフレームワークを検出するJavaScriptライブラリを検出するCSSライブラリを検出するサーバ側フレームワークを検出するヘッダ検出デフォルトのエラーメッセージと404ページデータベースの検出概要
7.アプリケーションアーキテクチャの弱い点を特定する
安全なアーキテクチャ信号と安全でないアーキテクチャ信号の比較複数のセキュリティ・レイヤー採用と再発明概要
8.第1部まとめ

II.犯罪
9.ウェブアプリケーションのハッキング入門
ハッカーのマインドセットアプライド・レコン
10.クロスサイト・スクリプティング（XSS）
XSSの発見と悪用保存されたXSS反射型XSSDOMベースのXSS突然変異ベースのXSS概要
11.クロスサイト・リクエスト・フォージェリ(CSRF)
クエリ・パラメータの改ざん代替GETペイロードPOSTエンドポイントに対するCSRF概要
12.XML外部エンティティ（XXE）
ダイレクトXXE間接的XXE概要
13.インジェクション
SQLインジェクションコード・インジェクションコマンド・インジェクション概要
14.サービス拒否（DoS）
正規表現DoS (ReDoS)論理的DoS脆弱性分散型DoS概要
15.サードパーティの依存関係を利用する
統合のメソッド枝とフォーク自己ホスト型アプリケーション統合ソースコードの統合パッケージ・マネージャーJavaScriptJavaその他の言語共通脆弱性・暴露データベース概要
16.パート II まとめ
III.防衛
17.最新のウェブアプリケーションのセキュリティ
ディフェンシブ・ソフトウェア・アーキテクチャ包括的コードレビュー脆弱性の発見脆弱性分析脆弱性管理回帰テスト緩和戦略応用偵察と攻撃テクニック
18.セキュア・アプリケーション・アーキテクチャ
機能要件を分析する認証認可セキュア・ソケット・レイヤーとトランスポート・レイヤー・セキュリティ安全な資格情報資格情報のハッシュ化2FAPIIと財務データ検索概要
19.セキュリティのためにコードをレビューする
コードレビューの始め方典型的な脆弱性とカスタムロジックバグの比較セキュリティの見直しはどこから始めるべきかセキュアコーディングのアンチパターンブラックリストボイラープレート・コードデフォルトによる信頼のアンチパターンクライアントとサーバの分離概要
20.脆弱性の発見
セキュリティ・オートメーション静的解析動的解析脆弱性回帰テスト責任ある情報開示プログラムバグ報奨金プログラム第三者による侵入テスト概要
21.脆弱性管理
脆弱性を再現する脆弱性の深刻度ランキング共通脆弱性採点システムCVSS：ベーススコアリングCVSS：テンポラルスコアリングCVSS：環境スコアリング高度な脆弱性スコアリングトリアージと採点を超えて概要
22.XSS攻撃からの防御
アンチXSSコーディングのベストプラクティスユーザ入力をサニタイズするDOMParser シンクSVGシンクブロブ・シンクハイパーリンクを消毒するHTML エンコーディングCSSXSS対策のためのコンテンツ・セキュリティ・ポリシースクリプト・ソース安全でない楕円球と安全でないインラインCSPの実装概要
23.CSRF攻撃からの防御
ヘッダ検証CSRFトークンステートレスCSRFトークンCRSF対策コーディングのベストプラクティスステートレスGETリクエストアプリケーション全体のCSRF対策概要
24.XXEに対するディフェンス
他のデータ形式を評価する高度なゼクシオのリスク概要
25.インジェクションに対するディフェンス
SQLインジェクションを緩和するSQLインジェクションを検出する準備された文データベース特有の防御策ジェネリック注射の防御潜在的な注射ターゲット最小権限の原則ホワイトリストのコマンド概要
26.DoSから身を守る
正規表現DoSから身を守る論理DoSから守るDDoSから身を守るDDoS緩和概要
27.サードパーティの依存関係を確保する
ディペンデンシー・ツリーを評価する依存関係ツリーをモデリングする実世界での依存関係ツリー自動評価安全な統合テクニック懸念の分離安全なパッケージ管理概要
28.パートIII まとめ
ソフトウェア・セキュリティの歴史ウェブアプリケーションの偵察攻撃ディフェンス
29.結論
インデックス

Content preview from Web アプリケーションセキュリティ

第4章. サブドメインを発見する

この作品はAIを使って翻訳されている。ご意見、ご感想をお待ちしている：translation-feedback@oreilly.com

APIエンドポイントをスコープしテストするためには、まずウェブアプリケーションが使用しているドメイン構造に精通していなければならない。今日の世界では、単一のドメインでウェブ・アプリケーション全体を提供することは稀である。多くの場合、ウェブ・アプリケーションは最低でもクライアント、サーバ・ドメインに分割され、さらによく知られている"https://www "と"https://"だけに分割される。ウェブアプリケーションのサブドメインを繰り返し発見し、記録することは、そのウェブアプリケーションに対する最初の偵察テクニックとして有用である。

ドメインごとに複数のアプリケーション

、メガバンクが主催するブラックボックス侵入テストをより良く実行するために、メガバンクのウェブ・アプリケーションをマッピングしようとしていると仮定しよう。メガバンクには、ユーザがログインして銀行口座にアクセスできるアプリがあることが分かっている。このアプリはhttps://www.mega-bank.com。

私たちは、メガバンクがmega-bank.comドメイン名にリンクしている他のインターネットアクセス可能なサーバを持っているかどうか、特に興味がある。メガバンクがバグ報奨金プログラムを持っていることは知っているが、そのプログラムの範囲はメインのmega-bank.comドメインをかなり包括的にカバーしている。その結果、mega-bank.comの発見しやすい脆弱性はすでに修正されているか、報告されている。もし新たな脆弱性が発見されれば、バグ賞金稼ぎが発見する前に、私たちは時間との戦いに挑むことになる。

そのため、メガバンクの痛いところを突けるような、もっと簡単なターゲットを探したいと思っている。これは純粋に倫理的な企業主催のテストだが、だからといって楽しめないわけではない。

まず最初にすべきことは、偵察を行って、mega-bank.comに接続されているサブドメインのリストでウェブ・アプリケーション・マップを埋めることだ（図4-1参照）。www は一般に公開されているウェブ・アプリケーションそのものを指しているため、私たちはおそらくそのようなものには興味がないだろう。しかし、ほとんどの大規模コンシューマ企業は、プライマリドメインに接続されたさまざまなサブドメインを実際にホストしている。これらのサブドメインは、電子メールから管理アプリケーション、ファイルサーバなど、さまざまなサービスのホスティングに使用される。

このデータを見つける方法はたくさんあり、多くの場合、探している結果を得るためにはいくつかの方法を試す必要がある。最もシンプルなメソッドから始め、順を追って説明しよう。

ブラウザ内蔵のネットワーク分析ツール

初期化、MegaBankの目に見える機能を見て歩き、バックグラウンドでどのようなAPIリクエストが行われているかを確認するだけで、有用なデータを収集することができる。これによって多くの場合、いくつかの低いところにあるエンドポイントを得ることができる。これらのリクエストが行われているのを見るには、自分のウェブブラウザのネットワークツールや、Burp、PortSwigger、ZAPのような強力なツールを使うことができる。 ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Publisher Resources

ISBN: 9798341651111

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business