手元に置いて辞書として使いたいセキュリティの教科書|体系的に学ぶ安全なWebアプリケーションの作り方

体系的に学ぶ安全なWebアプリケーションの作り方 表紙セキュリティ

こんにちは、いっとくです。

僕は今すごく達成感に満ち溢れています。

なぜなら去年からちょこちょこ読み進めていたあまりにもゴツすぎる本を読破したからです。

こちら。

体系的に学ぶ安全なWebアプリケーションの作り方 表紙
体系的に学ぶ安全なWebアプリケーションの作り方
著:徳丸 浩 出版:SB Creative

世の中では「徳丸本」の愛称で親しまれている、Webアプリケーション開発で気をつけるべきセキュリティについてまとめられた技術書でございます。そもそもセキュリティ系の本自体があまり多くないような気がしますが、これはおそらくその分野の金字塔とも言える技術書かと思います。

この本を実際に書店で手にとった人はそのあまりのボリュームに購入をためらうでしょう。そして、持ち運びも不便なことこの上ないでしょう。

そんなわけでいきなりですが、本書は電子書籍で購入することをおすすめします。電子書籍で買うと、この本が700ページ弱もある超大作だということに気が付かないまま読み始めることができます。持ち運びも簡単。仕事でもプライベートでも手軽に開くことができますね。やったー!

電子書籍はこういう本でこそ真価を発揮するような気がします。

スポンサーリンク

Webアプリケーションの脆弱性と攻撃手法と対策を広く深く学ぶことができる

超大作である本書について、その気になる内容ですが、とにかく広くて深い…!

一応2年ほど前からWebエンジニアをやっているので、流石にXSSとかCSRFとかSQLインジェクション辺りの基本的な脆弱性に関しては内容や対策とか知っているつもりでしたし、セッションハイジャックとかディレクトリトラバーサルとかOSコマンドインジェクションとかもなんとなーーーく概要くらいは知っていました。(対策はよく知りませんでしたが)

しかし本書を読むと、それぞれどんな脆弱性でどうやって攻撃して、どのような対策をするのかということを事細かに学ぶことができます。

また、書いてある内容を読むだけではなく、VirtualBoxでサンプルアプリケーションを動かし、そこに攻撃を仕掛けてから対策をして、再度同じ攻撃を仕掛けるというハンズオン形式でも学んでいけるというのも本書のメリットの一つだと思います。URLをクリックするだけで既に攻撃できるようになっているパターンも多いので、ちょっと気合い入れてどんなリクエストを飛ばしているのか把握する必要があり、それがやや大変だったりしますが。

更に奥深いなぁと感じたのはXSSのセクションでした。とりあえずユーザーが入力した文字を出力するのであれば危ないからエスケープしたれー!っていう気持ちでやっていたのですが、出力する場所によってはエスケープしても意味がないこともあるので気を付ける必要があると知った時は目からウロコでした。

そんなわけで今までセキュリティに対して腰を据えて勉強してこなかったため、かなり学びがあったのですが、本書は読んで理解して自分の糧にするにはややボリュームがエグすぎるなという感覚もありました。

なので、本書の使い方としては、一度全体を読んでどんな脆弱性があるのかとそれぞれがどんなものなのかを把握し、都度アプリケーション開発時に「そういえばこれやばくね!?」という気づきを得られる状態になるのがゴールとして丁度いいかもしれません。そして気づいてしまえば本の中やネット上の情報から対策を調べて実装できると思うので、その経験を繰り返して自分の知識として落とし込んでいくというのが一番いい。

なので手元においておいて、いつでも検索できるという意味で電子書籍で購入するのが一番いいと思いました!

読んでてkindleの現在位置の%が全然進まないのでめげそうになりましたが、やっと読破したということで、正直内容についてもやってて楽しいものでもなかったので非常に達成感がすごい。

次はもっと読んでて楽しい分野を勉強したいと思います。

以上、いっとくでした。さようなら!

コメント

タイトルとURLをコピーしました