Hatena::ブログ(Diary)

うさぎ文学日記 RSSフィード

 うさぎ文学日記甘味日記[甘味]

2016-07-13

Webアプリケーション脆弱性診断本『Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術』を発売予定

| Webアプリケーション脆弱性診断本『Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術』を発売予定を含むブックマーク

2016年8月2日に3年ぶりに書籍を出します。テーマは「Webアプリケーション脆弱性診断」です。

弊社(株式会社トライコーダ)では脆弱性診断を学ぶための講座をいくつか提供していたり、リーダーを務めるOWASP Japanの脆弱性診断士スキルマッププロジェクトでのガイドライン作りなどによって、診断会社各社の診断手法やノウハウなどを蓄積することができました。本書はそれを一冊にまとめた本となっています。

脆弱性診断はセキュリティ会社が実施することが多いのが現状のようです。それは脆弱性診断という技術が特殊なために熟練のセキュリティ専門家でないと実施できないという誤解からかもしれません。

実際はそうではありません。手法を知り、方法を学ぶことで誰にでもできるようになる技術です。さらにはシステムの仕様を知っている開発者が脆弱性診断を行うことで、システムのことを知らないセキュリティ専門家が行うよりもうまく行える可能性すらあるのです。

本書ではWebアプリケーションの脆弱性診断を行うために必要な基礎知識、診断に必要なツール、そして脆弱性を効率的に発見するための診断手法、報告書の書き方などを学ぶことができます。

また、レビューアーにはOWASP JapanなどのWGでご一緒させて頂いている 小河 哲之さん(Burp Suite Japan User Group)、亀田 勇歩さん(SCSK株式会社)、国分 裕さん、洲崎 俊さん、西村 宗晃さん(株式会社リクルートテクノロジーズ)、山崎 圭吾さん(株式会社ラック)にお願いさせて頂きました。

目次

1.脆弱性診断とは

この章では脆弱性診断とは何かということを学んで行きます。WebサイトやWebアプリケーションの脆弱性とはどういったもので、それを発見するための手法である脆弱性診断とはどういったものかを学びましょう。

  • 脆弱性診断とは「脆弱性を発見するためのテスト手法」
  • 本書の脆弱性診断対象とWebサイトの脆弱性対策
  • 脆弱性診断士に必要な知識や技術
  • 脆弱性診断士に求められる倫理観

2.診断に必要なHTTPの基本

この章ではWebの主要なプロトコルであるHTTPの基本について学んで行きます。Webアプリケーションの脆弱性診断を行うためには、Webの主要な通信プロトコルであるHTTPの理解を欠かすことができません。

HTTPというプロトコルの仕組みや、通信でやりとりするメッセージの構造などを学びましょう。

  • HTTPとは
  • TCP/IPとHTTPの関係
  • HTTPと関係深いプロトコル - IP・TCPDNS
  • URLとURI
  • シンプルなプロトコル HTTP

3.Webアプリケーションの脆弱性

この章ではWebアプリケーションの脆弱性について学んで行きます。Webアプリケーションへの攻撃がどういうもので、どういった種類のものがあるのかを学びましょう。

  • Webアプリケーションへの攻撃とは
  • インジェクション - Webアプリケーションの脆弱性
  • 認証 - Webアプリケーションの脆弱性
  • 認可制御の不備・欠落 - Webアプリケーションの脆弱性
  • セッション管理の不備 - Webアプリケーションの脆弱性
  • 情報漏えい - Webアプリケーションの脆弱性
  • その他 - Webアプリケーションの脆弱性

4.脆弱性診断の流れ

この章ではWebアプリケーション脆弱性診断の流れについて学んで行きます。まず診断会社が提供しているような診断業務全体の流れを学びます。そして診断実施前の準備には何が必要かを知り、脆弱性診断はどのように行うかという実施手順を学びましょう。

  • 診断業務の流れ
  • 診断実施前の準備
  • 脆弱性診断の実施手順

5.実習環境とその準備

この章では本書の実習に必要な診断ツール、Webブラウザ、実習環境のセットアップについて説明していきます。

  • 診断ツールのセットアップ
  • 診断のためのWebブラウザのセットアップ
  • 実習環境のセットアップ
  • 実際の診断の際の注意事項

6.自動診断ツールによる脆弱性診断の実施

この章では自動診断ツールを使った脆弱性診断の実施手順をはじめとして、自動診断ツールとして使用するOWASP ZAPの基本操作、脆弱性診断の実施方法などを説明していきます。

  • 自動診断ツールを使った脆弱性診断の実施手順
  • OWASP ZAPの基本操作
  • OWASP ZAPに診断対象を記録
  • OWASP ZAPで診断を実行

7.手動診断補助ツールによる脆弱性診断の実施

この章では手動診断補助ツールを使った脆弱性診断の実施手順を初めとして、脆弱性診断に使用する基準、診断リストの作成方法、手動診断補助ツールとして使用するBurp Suiteの基本操作、各種ツールの使い方、脆弱性診断の実施方法などを説明していきます。

  • 手動診断補助ツールを使った脆弱性診断の実施手順
  • Webアプリケーション脆弱性診断手法: 脆弱性診断士スキルマッププロジェクトの基準
  • Burp Suiteの基本操作: 手動診断のためのBurp Suite基本操作
  • 診断リストの作成: テストケースのシートを作成する手順
  • Burp Suiteの各種ツールの使い方
  • Burp Suiteを使った脆弱性診断
  • より多くの脆弱性を発見するためのヒント集: より多くの脆弱性を発見するための手動診断のコツ

8.診断報告書の作成

この章では脆弱性診断を実施した結果をまとめた診断報告書の作成について、報告書に記載すべき事項や個別の脆弱性の報告方法、リスク評価の付け方などを説明していきます。

  • 診断報告書の記載事項
  • 総合評価と個別の脆弱性の報告
  • リスク評価

9.関係法令とガイドライン

この章では脆弱性診断に関連する法律、診断時のルールや診断結果の取り扱い、セキュリティに関する基準やガイドラインについて説明していきます。

  • 脆弱性診断に関連する法律、ルール、基準など

付録: 実習環境のセットアップ(Oracle VM VirtualBox

Webアプリケーション脆弱性診断講座

本書を使ったトレーニングであれば筆者が教える弊社のこちらがお勧めです。


2003 | 08 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2011 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2012 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2013 | 02 | 03 | 05 | 11 |
2014 | 06 | 08 |
2016 | 07 |
Connection: close