【書籍】徳丸浩のWebセキュリティ教室
Wordsメモ
脆弱性、パスワード、SQLインジェクション、XSS、CSRF、ファイアウォール、、HTTPS、安全なウェブサイトの創り方、JavaScript、IPA、クッキー
tipsメモ
○ウェブサイトの侵入経路は二種類。
・ソフトウェアの脆弱性を悪用
・認証を突破
○2012パソコン遠隔操作事件
→CSRF。2ちゃんねるに投稿したページにJavaScriptを仕込み、犯行予告を掲示板に投稿させた。
・投稿したのは被害者のPC
→捜査当局は投稿元のIPアドレスを過信し誤認逮捕へ。
○XSS
→意図しないJavaScriptが実行される。
・JavaScriptからクッキーにアクセスできる
→クッキーを盗めなくてもウェブページの情報を盗める
→ウェブブラウザからは実行されたJavaScriptがどこに配置されているか判別できない
→HTMLのエスケープ対策等の必要あり
メモ
日経コンピュータのウェブセキュリティ関連の連載をまとめた本。
エンタープライズ向けの実例が多い。
SQLインジェクションが比較的多い。