MasaoApril's Library.

Software Testingなネタを書いてみた。

【感想】Webセキュリティ担当者のための脆弱性診断スタートガイド

 組み込み機器もセキュリティについて考慮する時代なので、脆弱性診断について理解する目的で読んでみた。以下、感想を述べます。

書名

「Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術」上野宣(著) 翔泳社(出版元)

 以下を参照。

http://www.shoeisha.co.jp/book/detail/9784798145624

目次

http://www.shoeisha.co.jp/book/detail/9784798145624#contentsから引用したものを下記に示します。

Chapter01 脆弱性診断とは
Chapter02 診断に必要なHTTPの基本
Chapter03 Webアプリケーションの脆弱性
Chapter04 脆弱性診断の流れ
Chapter05 実習環境とその準備
Chapter06 自動診断ツールによる脆弱性診断の実施
Chapter07 手動診断補助ツールによる脆弱性診断の実施
Chapter08 診断報告書の作成
Chapter09 関係法令とガイドライン

 Chapter01~05は基礎編で脆弱性診断に必要な知識、Chapter06~09は脆弱性診断の実例と注意することが記載されています。

感想

 Chapter02でURIのフォーマットやHTTPメッセージの構造について解説があり体系的に理解できるので、WiresharkでHTTPの内容を解釈する一助になり、過去にキャプチャしたpcapファイルを見て製品の挙動を深く理解したくなりました。
 Chapter03は、Webアプリケーションに対する攻撃のメカニズムが記載されており、セキュリティテストの手段のバリエーションが広がりそうです。
 Chapter06は、OWASP ZAPの設定や操作方法が解説されており、私が関わったプロジェクトで試行しましたがこなれていない部分があったので、次回以降のプロジェクトでどう実践するか使い倒そうと思います。

 本書に参考文献が紹介されていますので、読みつつ実践してノウハウを蓄積しようと思います。