泥水エンジニア日記

泥水の数だけ強くなれる

『安全なWebアプリケーションの作り方』を読んだ

とか言ってたら、社長に『安全なWebアプリケーションの作り方』を買ってもらえました。感謝。

さて、『安全なWebアプリケーションの作り方』についてですが、こちらも今更僕が何かを語るまでもないソフトウェア開発の名著です。Web セキュリティの第一人者、徳丸先生の書いたセキュリティ本。

セキュリティ監査の対応とかやってた割に、この辺の知識を体系的に説明できないのがコンプレックスで、来年の監査が始まる前に読んでおこうと思ったのがきっかけです。

この本の良いところはとにかく徹底して「体系的」なこと。

クロスサイトスクリプティングSQL インジェクションなどの代表的なセキュリティ上のバグを取り上げ、それらについて、

  • どんな箇所で起きるか
  • どんな影響があるか
  • 利用者の関与が必要か
  • 脆弱性が生まれる原因
  • 対策方法

が漏れなく説明されており、セキュリティ対策として「どういう理由で何をすればいいのか」が一目でわかる。常に手元に置いておきたい一冊です。

本の構成についても、そもそも Web 脆弱性とは何か、から始まり、HTTP やセッション管理など、Web の仕組みのおさらいをした上で、Web アプリケーションの機能別にみるセキュリティバグ(SQLインジェクションとか)、セキュリティ機能(認証・認可とか)の話に移る、という構成で、迷子にならずにスイスイ読めます。

今年の6月に改訂版が出版される、という話も出ていて、 Web APIJavaScript のセキュリティについてや、安全でないデシリアライゼーション、XXE に関する解説が追加されるそうです。未読の人は、ちょうどいいタイミングなので読んでみるといいんじゃないでしょうか。

以下、いつのも読書メモです。