Webセキュリティ担当者のための脆弱性診断スタートガイド―上野宣が教える新しい情報漏えいを防ぐ技術 第2版 [単行本]

Webセキュリティ担当者のための脆弱性診断スタートガイド―上野宣が教える新しい情報漏えいを防ぐ技術 第2版 の 商品概要

• 要旨（「BOOK」データベースより）

  本書は脆弱性診断を始めたい方へ向けて、セキュリティのプロである著者が脆弱性診断を行うための基礎知識と技術を丁寧に解説した入門書です。本書の前半では、Ｗｅｂアプリケーションがどのような仕組みで通信をし、どのような問題が起こるのか、といった脆弱性診断を行うために必要なＨＴＴＰの知識を学習していきます。また、Ｗｅｂアプリケーションへの攻撃とはどういうもので、どういった種類の攻撃があるのかも基礎から解説しています。後半の実践編では、実際に問題があるＷｅｂアプリケーションのデータを使用し、手を動かしながら脆弱性診断の手法を学んでいきます。診断にはＯＷＡＳＰ　ＺＡＰという自動ツールを使用して診断する方法と、Ｂｕｒｐ　Ｓｕｉｔｅという手動診断補助ツールを使用して診断する方法を解説しています。最後には、脆弱性診断を行う際に気をつけるべき関係法令やガイドラインもしっかり解説しています。脆弱性診断の手法を身に付けることで、セキュリティを客観的に判断することができるので、Ｗｅｂアプリケーションのセキュリティ担当者、開発者だけでなく、経営者の方にもおすすめの１冊です。

• 目次

  ◆基礎編
  第1章　脆弱性診断とは
  　1-1　脆弱性診断とは「脆弱性を発見するためのテスト手法」
  　1-2　本書の脆弱性診断対象とWebサイトの脆弱性対策
  　1-3　脆弱性診断士に必要な知識や技術
  　1-4　脆弱性診断士に求められる倫理観
  
  第2章　診断に必要なHTTPの基本
  　2-1　HTTPとは
  　2-2　TCP/IPとHTTPの関係
  　2-3　HTTPと関係深いプロトコル―IP・TCP・DNS
  　2-4　URLとURI
  　2-5　シンプルなプロトコルHTTP
  
  第3章　Webアプリケーションの脆弱性
  　3-1　Webアプリケーションへの攻撃とは
  　3-2　インジェクション―Webアプリケーションの脆弱性
  　3-3　認証―Webアプリケーションの脆弱性
  　3-4　セッション管理の不備―Webアプリケーションの脆弱性
  　3-5　情報漏えい―Webアプリケーションの脆弱性
  　3-6　その他―Webアプリケーションの脆弱性
  
  第4章　脆弱性診断の流れ
  　4-1　診断業務の流れ
  　4-2　診断実施前の準備
  　4-3　脆弱性診断の実施手順
  
  第5章　実習環境とその準備
  　5-1　診断ツールのセットアップ
  　5-2　診断のためのWebブラウザのセットアップ
  　5-3　実習環境のセットアップ
  　5-4　実際の診断の際の注意事項
  
  ◆実践編
  第6章　自動診断ツールによる脆弱性診断の実施
  　6-1　自動診断ツールを使った脆弱性診断の実施手順
  　6-2　OWASP ZAPの基本操作
  　6-3　OWASP ZAPに診断対象を記録
  　6-4　OWASP ZAPで診断を実行
  
  第7章　手動診断補助ツールによる脆弱性診断の実施
  　7-1　手動診断補助ツールを使った脆弱性診断の実施手順
  　7-2　Webアプリケーション脆弱性診断手法
  　7-3　Burp Suiteの基本操作
  　7-4　診断リストの作成
  　7-5　Burp Suiteの各種ツールの使い方
  　7-6　Burp Suiteを使った脆弱性診断
  　7-7　より多くの脆弱性を発見するためのヒント集
  
  第8章　診断報告書の作成
  　8-1　診断報告書の記載事項
  　8-2　総合評価と個別の脆弱性の報告
  　8-3　リスク評価
  
  第9章　関係法令とガイドライン
  　9-1　脆弱性診断に関連する法律、ルール、基準など
  
  ◆付録
  実習環境のセットアップ（Oracle VM VirtualBox）
  　A-1　実習環境のセットアップ
  
  

• 出版社からのコメント

  最新の脆弱性リスクに対応した新しい脆弱性診断の教科書です。

• 内容紹介

  『Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術』は2016年8月1日に初版が刊行されて2年が経ちました。日々変更されるセキュリティリスクに対応するため、さまざまな項目が見直されています。本書でも最新の状況に対応するため、OWASP Top 2017に沿って内容を一新いたしました。改訂版では、改訂されたガイドラインの解説、追加された脆弱性の説明、診察する箇所の見直し、診断ツールの最新版に対応などを行っています。
  
  本書はWebアプリケーションの脆弱性をチェックするための解説書です。Webアプリケーションはユーザーの個人情報や商品情報など重要な情報を扱っています。Webアプリケーションの開発者がセキュリティに自信がある場合でも、開発者の勘違いや設計ミスなどがあることでWebアプリケーションに侵入・改ざんなどが行われ、個人情報が盗まれる恐れがあります。
  
  本書ではWebアプリケーションの開発に必要なセキュリティを確認するための脆弱性診断についてまとめています。脆弱性診断を行う際のスタンダードツールとなっているOWASP ZAPとBurp Suiteを使用することで、開発者やセキュリティ担当者がセキュリティに問題がないかを検査することができます。
  
  本書の前半では、Webアプリケーションがどのような仕組みで通信をし、脆弱性がどのようなものかといった診断に必要なネットワークの知識を学んでいきます。後半では、実際に問題があるBadStoreというWebアプリケーションを使用し、仮想マシン上で実際に手を動かしながら脆弱性診断の手法を学んでいきます。診断の仕方はOWASP ZAPを使用して自動的に脆弱性診断を行う方法と、Burp Suiteを使用して手動でフォームなどのパラメータに検査パターンを挿入し診断する方法など様々な手法を解説しています。また、脆弱性診断を行う際に便利な脆弱性診断ガイドラインも付いています。
  
  著者の上野宣はOWASP Japanの代表であり、脆弱性診断の第一人者です。脆弱性診断の手法を身に付けることで、セキュリティを客観的に判断することができますので、Webアプリケーションの開発者だけでなく、経営者の方にもおすすめの1冊です。
  
  

• 著者紹介（「BOOK著者紹介情報」より）（本データはこの書籍が刊行された当時に掲載されていたものです）

  上野 宣(ウエノ セン)
  株式会社トライコーダ代表取締役。２００６年に株式会社トライコーダを設立。ハッキング技術を駆使して企業などに侵入を行うペネトレーションテストや各種サイバーセキュリティ実践トレーニングなどを提供。ＯＷＡＳＰ　Ｊａｐａｎ代表、セキュリティ・キャンプＧＭ、『ＳｃａｎＮｅｔＳｅｃｕｒｉｔｙ』編集長、情報処理安全確保支援士集合講習講師、Ｈａｒｄｅｎｉｎｇ　Ｐｒｏｊｅｃｔ実行委員、ＳＥＣＣＯＮ実行委員、日本ハッカー協会理事、東京２０２０オリンピック・パラリンピック競技大会向け実践的演習「サイバーコロッセオ」推進委員などを務める。（ＩＳＣ）２が発表した２０１７年アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント（ＩＳＬＡ）を受賞

Webセキュリティ担当者のための脆弱性診断スタートガイド―上野宣が教える新しい情報漏えいを防ぐ技術 第2版 の商品スペック