そんなわけでちょっと前に軽く触れたセキュリティの本が出ました。

不正アクセスについていろいろ考えて、セキュリティ・マインドを育成するような本になってます。まずは「はじめに」から抜粋。

　というわけで、不正アクセス対策について、肩肘張らずにサクっと読めて、でも重要な考え方は身につけられるような本をがんばって書いてみた。
　サーバの設定の仕方から、「クロスサイトスクリプティング」や「SQLインジェクション」などのWebアプリケーションのセキュリティまで、不正アクセスに対処するための考え方が身にくつような本になっているハズ(どこまでうまくいったかは、実際に本書を読んでもらうしかないけれど)。「セキュリティという鎖は弱い輪から外れる」ので、初心者プログラマがターゲットとなるWebアプリケーションのセキュリティの話題に、大きく偏った構成になっている。

　「セキュリティ・ホール」という字面を見ると何やら仰々しいが、それは要するに無知や不注意から来るバグのことである。あなたのその指が、プログラムを書いているその瞬間に、ついタイプしてしまうものなのだ。だから重要なのは個々の細かいHOW-TOなのではなく、プログラムをタイプするとき、いつも心にセキュリティ・マインドを持っていることなのである。本書にはセキュリティを考えるためのヒントをたくさんちりばめてみた。本書がそういうセキュリティ・マインド育成の一助になれば幸いである。

そんな本です。あと、「目次」も。

• Part 1　不正アクセスって何ですか？
  • 01 そもそも不正アクセスとは？
  • 02 不正アクセスをされると何が困るのか？
  • 03 誰が不正アクセスをするのか？
  • 04 いま不正アクセスが注目されるわけ
  • 05 不正アクセス対策を意識しておかなくてはならない人
• Part 2　不正アクセスはどこで起きるのか
  • 06 「ホームページを見る」とはどういうことか？
  • 07 サーバにあるファイルがブラウザまでやってくる
  • 08 ユーザーによって違う反応をするページ
  • 09 データはどこに保存されているのか？
  • 10 「ステートレス」ということ
  • 11 不正アクセスはどこで起きるのか？
• Part 3　不正アクセス対策、せめてこれだけは
  • 12 そんなところにサーバを置くなんて
  • 13 余分な通信はシャットアウト
  • 14 余分なサービスはシャットダウン
  • 15 インストールしただけになってない？
  • 16 セキュリティパッチを怖がらない
  • 17 平文でリモートアクセスするなんて
  • 18 ログを使って健康管理
  • 19 JavaScriptでのチェックだけ？
• Part 4　インパクト大、の不正アクセス対策
  • 20 ヒミツなURLはヒミツじゃない
  • 21 直接見られるデータファイル
  • 22 パラメータには要注意
  • 23 granted=1ってまさか？
  • 24 ディレクトリをのぼられてしまうとき
  • 25 次が読めちゃうセッションID
  • 26 せっかちさんなセッションID
  • 27 買った覚えがない商品が
  • 28 クッキー取られるXSS
  • 29 セッションハイジャックしましょ
  • 30 クロスサイトスクリプティングでニセ記事は如何？
  • 31 認証すり抜けの術−−SQLインジェクション
  • 32 データベースが壊れちゃう−−SQLインジェクション
  • 33 違うところにリダイレクト
  • 34 リダイレクトするはずだったのに
• Part 5　不正アクセス対策、できればこれも
  • 35 アドレス欄にIDとパスワードが
  • 36 アクセスログは意外とおしゃべり
  • 37 ラジオボタンじゃ安心できない
  • 38 HIDDENの値を書き換えられた
  • 39 リファラを信じちゃいけないよ
  • 40 前のセッションが残ってるけど
  • 41 どう移動するかはユーザー次第
  • 42 そのクッキー、範囲が広すぎます
  • 43 そのクッキー、有効期限が長すぎます
  • 44 そのクッキー、中身が重要すぎます
  • 45 ログインエラーが親切すぎる
  • 46 タグ属性にスクリプト
  • 47 スパムだって送り放題
  • 48 生成ファイルに気をつけろ
  • 49 ページあたり100万件でお願いします
  • 50 全件マッチでアップアップ
  • 51 テーブルに対して権限がありすぎる
  • 52 独自証明書を信用しろだと？
  • 53 長すぎて意味がなくなるパスワード
  • 54 rootkitにヤラれるな
  • 55 DoS攻撃に気をつけろ
  • 56 侵入されてからじゃ遅いよね
• Part 6　もっともっと不正アクセス対策
  • 57 HTMLソースでバレバレ
  • 58 JavaScriptで組み立てたSQL
  • 59 ログイン、ログイン、またログイン
  • 60 スクリプトに書いたパスワード
  • 61 バックアップファイルにご用心
  • 62 バックアップのパーミッション
  • 63 大盤振る舞いなパーミッション
  • 64 setuid禁止
  • 65 まる見えテンポラリファイル
  • 66 レンタルサーバのワナ
  • 67 ファイル一覧は必要なの？
  • 68 POSTもGETもいっしょくたかよ
  • 69 デバッグモードは誰のため？
  • 70 オプション設定が簡単すぎる
  • 71 そんなオリジナリティなんかいらない
  • 72 シンボリックリンクで攻撃だ
  • 73 PATHを信頼しすぎちゃ危ない
  • 74 時刻の同期は意外と大事
  • 75 自分で自分にクラックを

ど真ん中はPerlやPHPでWebのプログラム書いてる初心者プログラマですが、Web系のお仕事してる人は、プログラマじゃなくても読めるんじゃないかと思います。プログラマに文句言うときの理論武装に使ってもらうと良いかも。

そんなこんなで、よろしくお願いします。