book

Web アプリケーションセキュリティ

Name: Web アプリケーションセキュリティ
Author: Andrew Hoffman
ISBN: 9798341651111

by Andrew Hoffman

May 2025

Beginner to intermediate

330 pages

4h 34m

Japanese

O'Reilly Media, Inc.

Read now

Unlock full access

序文
前提知識と学習目標推奨される背景最低限必要なスキルこの本を読み、最も利点があるのは誰か？ソフトウェア・エンジニアおよびウェブ・アプリケーション開発者一般化された学習目標セキュリティエンジニア、ペンテスター、バグバウンティハンター本書はどのように構成されているのか？リコン攻撃ディフェンス言語と用語概要本書で使用されている慣例オライリー・オンライン・ラーニング問い合わせ先
1.ソフトウェア・セキュリティの歴史
ハッキングの起源エニグマ・マシン、1930年頃自動エニグマ暗号解読、1940年頃"ボンベ "の紹介1950年頃、電話の「プリーキング1960年頃、アンチフレーキング・テクノロジーコンピュータ・ハッキングの起源、1980年頃ワールド・ワイド・ウェブの台頭、2000年頃現代のハッカーたち、2015年以降概要
I.リコン
2.ウェブ・アプリケーション偵察入門
情報収集ウェブアプリケーションのマッピング概要
3.最新のウェブアプリケーションの構造
最新のウェブアプリケーションとレガシーアプリケーションREST APIJavaScriptオブジェクト記法JavaScript変数とスコープ関数コンテクストプロトタイプ継承非同期ブラウザDOMSPAフレームワーク認証認可システム認証認可ウェブサーバサーバ側データベースクライアント側データストア概要
4.サブドメインを発見する
ドメインごとに複数のアプリケーションブラウザ内蔵のネットワーク分析ツール公文書を活用する検索エンジンのキャッシュ偶然のアーカイブソーシャル・スナップショットゾーン・トランスファー攻撃ブルート・フォース・サブドメイン辞書攻撃概要
5.API分析
エンドポイントディスカバリー認証メカニズムエンドポイントの形状一般的な形状アプリケーション固有の形状概要
6.サードパーティの依存関係を特定する
クライアント側フレームワークを検出するSPAフレームワークを検出するJavaScriptライブラリを検出するCSSライブラリを検出するサーバ側フレームワークを検出するヘッダ検出デフォルトのエラーメッセージと404ページデータベースの検出概要
7.アプリケーションアーキテクチャの弱い点を特定する
安全なアーキテクチャ信号と安全でないアーキテクチャ信号の比較複数のセキュリティ・レイヤー採用と再発明概要
8.第1部まとめ

II.犯罪
9.ウェブアプリケーションのハッキング入門
ハッカーのマインドセットアプライド・レコン
10.クロスサイト・スクリプティング（XSS）
XSSの発見と悪用保存されたXSS反射型XSSDOMベースのXSS突然変異ベースのXSS概要
11.クロスサイト・リクエスト・フォージェリ(CSRF)
クエリ・パラメータの改ざん代替GETペイロードPOSTエンドポイントに対するCSRF概要
12.XML外部エンティティ（XXE）
ダイレクトXXE間接的XXE概要
13.インジェクション
SQLインジェクションコード・インジェクションコマンド・インジェクション概要
14.サービス拒否（DoS）
正規表現DoS (ReDoS)論理的DoS脆弱性分散型DoS概要
15.サードパーティの依存関係を利用する
統合のメソッド枝とフォーク自己ホスト型アプリケーション統合ソースコードの統合パッケージ・マネージャーJavaScriptJavaその他の言語共通脆弱性・暴露データベース概要
16.パート II まとめ
III.防衛
17.最新のウェブアプリケーションのセキュリティ
ディフェンシブ・ソフトウェア・アーキテクチャ包括的コードレビュー脆弱性の発見脆弱性分析脆弱性管理回帰テスト緩和戦略応用偵察と攻撃テクニック
18.セキュア・アプリケーション・アーキテクチャ
機能要件を分析する認証認可セキュア・ソケット・レイヤーとトランスポート・レイヤー・セキュリティ安全な資格情報資格情報のハッシュ化2FAPIIと財務データ検索概要
19.セキュリティのためにコードをレビューする
コードレビューの始め方典型的な脆弱性とカスタムロジックバグの比較セキュリティの見直しはどこから始めるべきかセキュアコーディングのアンチパターンブラックリストボイラープレート・コードデフォルトによる信頼のアンチパターンクライアントとサーバの分離概要
20.脆弱性の発見
セキュリティ・オートメーション静的解析動的解析脆弱性回帰テスト責任ある情報開示プログラムバグ報奨金プログラム第三者による侵入テスト概要
21.脆弱性管理
脆弱性を再現する脆弱性の深刻度ランキング共通脆弱性採点システムCVSS：ベーススコアリングCVSS：テンポラルスコアリングCVSS：環境スコアリング高度な脆弱性スコアリングトリアージと採点を超えて概要
22.XSS攻撃からの防御
アンチXSSコーディングのベストプラクティスユーザ入力をサニタイズするDOMParser シンクSVGシンクブロブ・シンクハイパーリンクを消毒するHTML エンコーディングCSSXSS対策のためのコンテンツ・セキュリティ・ポリシースクリプト・ソース安全でない楕円球と安全でないインラインCSPの実装概要
23.CSRF攻撃からの防御
ヘッダ検証CSRFトークンステートレスCSRFトークンCRSF対策コーディングのベストプラクティスステートレスGETリクエストアプリケーション全体のCSRF対策概要
24.XXEに対するディフェンス
他のデータ形式を評価する高度なゼクシオのリスク概要
25.インジェクションに対するディフェンス
SQLインジェクションを緩和するSQLインジェクションを検出する準備された文データベース特有の防御策ジェネリック注射の防御潜在的な注射ターゲット最小権限の原則ホワイトリストのコマンド概要
26.DoSから身を守る
正規表現DoSから身を守る論理DoSから守るDDoSから身を守るDDoS緩和概要
27.サードパーティの依存関係を確保する
ディペンデンシー・ツリーを評価する依存関係ツリーをモデリングする実世界での依存関係ツリー自動評価安全な統合テクニック懸念の分離安全なパッケージ管理概要
28.パートIII まとめ
ソフトウェア・セキュリティの歴史ウェブアプリケーションの偵察攻撃ディフェンス
29.結論
インデックス

Content preview from Web アプリケーションセキュリティ

第25章. インジェクションから身を守る

この作品はAIを使って翻訳されている。ご意見、ご感想をお待ちしている：translation-feedback@oreilly.com

前回、インジェクション型攻撃がウェブ・アプリケーションにもたらすリスクについて議論した。これらの攻撃は（以前はより一般的であったが）まだ一般的であり、典型的には、CLIとユーザが送信したデータを含む、あらゆるタイプの自動化を書いている開発者側の不適切な注意の結果である。

インジェクション攻撃はまた、広い表面領域をカバーしている。インジェクションは、CLIやサーバ上で実行されているその他の分離されたインタプリタに対して使用することができる（OSレベルに達すると、代わりにコマンド・インジェクションになる）。その結果、インジェクションスタイルの攻撃に対してどのように防御するかを考える場合、そのような防御手段をいくつかのカテゴリーに分ける方が簡単である。

まず最初に、SQLインジェクション攻撃に対する防御を評価すべきである。SQLインジェクションを防御するために何ができるかを調査した後、どの防御が他の形式のインジェクション攻撃にも適用できるかを確認する。最後に、インジェクションに基づく攻撃の特定のサブセットに特化しない、インジェクションに対するいくつかの汎用的な防御メソッドを評価することができる。

SQLインジェクションを緩和する

SQL インジェクションは、最も一般的なインジェクション攻撃であり、同様に最も防御しやすい攻撃の一つである。SQLインジェクションは、（SQLデータベースが普及しているため）ほとんどすべての複雑なウェブ・アプリケーションに影響を与える可能性があり、非常に広範囲に広がっているため、SQLインジェクションに対する多くの緩和策や対策が開発されてきた。

さらに、SQLインジェクション攻撃はSQLインタプリタ内で行われるため、このような脆弱性の検出は非常に簡単である。適切に検出し、緩和策を講じれば、ウェブ・アプリケーションがSQLインジェクション攻撃にさらされる確率はかなり低くなる。

SQLインジェクションを検出する

SQLインジェクション攻撃に対する防御のためにコードベースを準備するには、まずSQLインジェクションの形態と、コードベースの中で最も脆弱な場所についてよく理解する必要がある。

ほとんどの最新のウェブ・アプリケーションでは、SQL演算子はサーバ側のルーティング・レベルを超えて発生する。つまり、クライアント側にはあまり興味がないということだ。

例えば、ウェブ・アプリケーションのコード・リポジトリ・ファイル構造は次のようになっている：

/api
  /routes
  /utils
/analytics
  /routes
/client
  /pages
  /scripts
  /media

クライアントの検索を省略できることは分かっているが、アナリティクス・ルートを検討すべきである。たとえOSSで構築されていても、アナリティクス・データをストアするために何らかのデータベースを使用している可能性が高いからだ。デバイスやセッション間でデータが永続化される場合、それはサーバ側のメモリ、ディスク（ログ）、データベースのいずれかに保存されることを覚えておこう。

サーバ上では、多くのアプリケーションが複数のデータベースを利用していることに注意する必要がある。例えば、あるアプリケーションはSQLサーバとMySQLを利用している。そのため、サーバを検索する際には、複数のSQL言語実装にまたがるSQLクエリを発見できるように、ジェネリッククエリを利用する必要がある。 ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Publisher Resources

ISBN: 9798341651111

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design