book

Web アプリケーションセキュリティ

Name: Web アプリケーションセキュリティ
Author: Andrew Hoffman
ISBN: 9798341651111

by Andrew Hoffman

May 2025

Beginner to intermediate

330 pages

4h 34m

Japanese

O'Reilly Media, Inc.

Read now

Unlock full access

序文
前提知識と学習目標推奨される背景最低限必要なスキルこの本を読み、最も利点があるのは誰か？ソフトウェア・エンジニアおよびウェブ・アプリケーション開発者一般化された学習目標セキュリティエンジニア、ペンテスター、バグバウンティハンター本書はどのように構成されているのか？リコン攻撃ディフェンス言語と用語概要本書で使用されている慣例オライリー・オンライン・ラーニング問い合わせ先
1.ソフトウェア・セキュリティの歴史
ハッキングの起源エニグマ・マシン、1930年頃自動エニグマ暗号解読、1940年頃"ボンベ "の紹介1950年頃、電話の「プリーキング1960年頃、アンチフレーキング・テクノロジーコンピュータ・ハッキングの起源、1980年頃ワールド・ワイド・ウェブの台頭、2000年頃現代のハッカーたち、2015年以降概要
I.リコン
2.ウェブ・アプリケーション偵察入門
情報収集ウェブアプリケーションのマッピング概要
3.最新のウェブアプリケーションの構造
最新のウェブアプリケーションとレガシーアプリケーションREST APIJavaScriptオブジェクト記法JavaScript変数とスコープ関数コンテクストプロトタイプ継承非同期ブラウザDOMSPAフレームワーク認証認可システム認証認可ウェブサーバサーバ側データベースクライアント側データストア概要
4.サブドメインを発見する
ドメインごとに複数のアプリケーションブラウザ内蔵のネットワーク分析ツール公文書を活用する検索エンジンのキャッシュ偶然のアーカイブソーシャル・スナップショットゾーン・トランスファー攻撃ブルート・フォース・サブドメイン辞書攻撃概要
5.API分析
エンドポイントディスカバリー認証メカニズムエンドポイントの形状一般的な形状アプリケーション固有の形状概要
6.サードパーティの依存関係を特定する
クライアント側フレームワークを検出するSPAフレームワークを検出するJavaScriptライブラリを検出するCSSライブラリを検出するサーバ側フレームワークを検出するヘッダ検出デフォルトのエラーメッセージと404ページデータベースの検出概要
7.アプリケーションアーキテクチャの弱い点を特定する
安全なアーキテクチャ信号と安全でないアーキテクチャ信号の比較複数のセキュリティ・レイヤー採用と再発明概要
8.第1部まとめ

II.犯罪
9.ウェブアプリケーションのハッキング入門
ハッカーのマインドセットアプライド・レコン
10.クロスサイト・スクリプティング（XSS）
XSSの発見と悪用保存されたXSS反射型XSSDOMベースのXSS突然変異ベースのXSS概要
11.クロスサイト・リクエスト・フォージェリ(CSRF)
クエリ・パラメータの改ざん代替GETペイロードPOSTエンドポイントに対するCSRF概要
12.XML外部エンティティ（XXE）
ダイレクトXXE間接的XXE概要
13.インジェクション
SQLインジェクションコード・インジェクションコマンド・インジェクション概要
14.サービス拒否（DoS）
正規表現DoS (ReDoS)論理的DoS脆弱性分散型DoS概要
15.サードパーティの依存関係を利用する
統合のメソッド枝とフォーク自己ホスト型アプリケーション統合ソースコードの統合パッケージ・マネージャーJavaScriptJavaその他の言語共通脆弱性・暴露データベース概要
16.パート II まとめ
III.防衛
17.最新のウェブアプリケーションのセキュリティ
ディフェンシブ・ソフトウェア・アーキテクチャ包括的コードレビュー脆弱性の発見脆弱性分析脆弱性管理回帰テスト緩和戦略応用偵察と攻撃テクニック
18.セキュア・アプリケーション・アーキテクチャ
機能要件を分析する認証認可セキュア・ソケット・レイヤーとトランスポート・レイヤー・セキュリティ安全な資格情報資格情報のハッシュ化2FAPIIと財務データ検索概要
19.セキュリティのためにコードをレビューする
コードレビューの始め方典型的な脆弱性とカスタムロジックバグの比較セキュリティの見直しはどこから始めるべきかセキュアコーディングのアンチパターンブラックリストボイラープレート・コードデフォルトによる信頼のアンチパターンクライアントとサーバの分離概要
20.脆弱性の発見
セキュリティ・オートメーション静的解析動的解析脆弱性回帰テスト責任ある情報開示プログラムバグ報奨金プログラム第三者による侵入テスト概要
21.脆弱性管理
脆弱性を再現する脆弱性の深刻度ランキング共通脆弱性採点システムCVSS：ベーススコアリングCVSS：テンポラルスコアリングCVSS：環境スコアリング高度な脆弱性スコアリングトリアージと採点を超えて概要
22.XSS攻撃からの防御
アンチXSSコーディングのベストプラクティスユーザ入力をサニタイズするDOMParser シンクSVGシンクブロブ・シンクハイパーリンクを消毒するHTML エンコーディングCSSXSS対策のためのコンテンツ・セキュリティ・ポリシースクリプト・ソース安全でない楕円球と安全でないインラインCSPの実装概要
23.CSRF攻撃からの防御
ヘッダ検証CSRFトークンステートレスCSRFトークンCRSF対策コーディングのベストプラクティスステートレスGETリクエストアプリケーション全体のCSRF対策概要
24.XXEに対するディフェンス
他のデータ形式を評価する高度なゼクシオのリスク概要
25.インジェクションに対するディフェンス
SQLインジェクションを緩和するSQLインジェクションを検出する準備された文データベース特有の防御策ジェネリック注射の防御潜在的な注射ターゲット最小権限の原則ホワイトリストのコマンド概要
26.DoSから身を守る
正規表現DoSから身を守る論理DoSから守るDDoSから身を守るDDoS緩和概要
27.サードパーティの依存関係を確保する
ディペンデンシー・ツリーを評価する依存関係ツリーをモデリングする実世界での依存関係ツリー自動評価安全な統合テクニック懸念の分離安全なパッケージ管理概要
28.パートIII まとめ
ソフトウェア・セキュリティの歴史ウェブアプリケーションの偵察攻撃ディフェンス
29.結論
インデックス

Content preview from Web アプリケーションセキュリティ

第13章. インジェクション

この作品はAIを使って翻訳されている。ご意見、ご感想をお待ちしている：translation-feedback@oreilly.com

ウェブ・アプリケーションに対する攻撃の中で、最もよく知られているタイプの一つがSQL インジェクションである。SQL インジェクションは、特に SQL データベースを標的にしたインジェクション攻撃の一種であり、悪意のあるユーザが既存の SQL クエリに独自のパラメータを与えたり、SQL クエリをエスケープして独自のクエリを与えたりすることを可能にする。当然ながら、SQLインタプリタにはデフォルトでエスカレーションされたパーミッションが与えられているため、この攻撃は通常データベースを危険にさらす結果となる。

SQLインジェクションはインジェクションの最も一般的な形態であるが、唯一の形態ではない。インジェクション攻撃には、、インタプリタと、何らかの方法でインタプリタに読み込まれるユーザからのペイロードという2つの主要なコンポーネントがある。つまり、インジェクション攻撃は、FFMPEG（ビデオ圧縮機）のようなコマンドライン・ユーティリティに対しても、（従来のSQLインジェクションのケースのように）データベースに対しても起こりうるということだ。

このような攻撃が機能するためにはどのようなアプリケーションアーキテクチャが必要なのか、そして脆弱なAPIに対するペイロードがどのように形成され、配信され得るのかをよく理解するために、インジェクション攻撃のいくつかの形態を見てみよう。

SQLインジェクション

SQLインジェクションは最も古典的なインジェクションの形態である（図13-1参照）。SQL 文字列が HTTP ペイロードでエスケープされ、エンドユーザに代わってカスタム SQL クエリが実行される。

伝統的に、 OSSパッケージの多くは、PHPとSQL(多くはMySQL)を組み合わせて構築されていた。SQLインジェクションの脆弱性の多くは、PHPがビュー、ロジック、データコードの間の補間について緩やかな見解を持っていたために発生したものである。旧来のPHP開発者は、SQL、HTML、PHPの組み合わせをPHPファイルに織り交ぜたものであり、PHPがサポートする組織モデルが悪用され、結果として膨大な量の脆弱なPHPコードを生み出した。

ユーザがログインするための、古いタイプのフォーラム・ソフトウェアのPHPコード・ブロックの例を見てみよう：

<?php if ($_SERVER['REQUEST_METHOD'] != 'POST') {
  echo'
   <div class="row">
     <div class="small-12 columns">
         <form method="post" action="">
           <fieldset class="panel">
             <center>
               <h1>Sign In</h1><br>
             </center>
             <label>
               <input type="text" id="username" name="username"
               placeholder="Username">
             </label>
             <label>

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Publisher Resources

ISBN: 9798341651111

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills

Web アプリケーションセキュリティ

by Andrew Hoffman

第13章. インジェクション

SQLインジェクション

図13-1. SQLインジェクション

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.