徳丸浩のWebセキュリティ教室 の商品レビュー

Wordsメモ 脆弱性、パスワード、SQLインジェクション、XSS、CSRF、ファイアウォール、、HTTPS、安全なウェブサイトの創り方、JavaScript、IPA、クッキー tipsメモ ○ウェブサイトの侵入経路は二種類。 ・ソフトウェアの脆弱性を悪用 ・認証を突破 ○2012パソコン遠隔操作事件 →CSRF。2ちゃんねるに投稿したページにJavaScriptを仕込み、犯行予告を掲示板に投稿させた。 ・投稿したのは被害者のPC →捜査当局は投稿元のIPアドレスを過信し誤認逮捕へ。 ○XSS 　→意図しないJavaScriptが実行される。 ・JavaScriptからクッキーにアクセスできる →クッキーを盗めなくてもウェブページの情報を盗める →ウェブブラウザからは実行されたJavaScriptがどこに配置されているか判別できない →HTMLのエスケープ対策等の必要あり メモ 日経コンピュータのウェブセキュリティ関連の連載をまとめた本。 エンタープライズ向けの実例が多い。 SQLインジェクションが比較的多い。