[書評] ハッキングAPI ―Web APIを攻撃から守るためのテスト技法
サマリ ハッキングAPI―Web APIを攻撃から守るためのテスト技法(2023年3月27日発売)を読んだ。本書は、Web APIに対するセキュリティテストの全体像と具体的なテスト方法を記載している。ペンテスターは、APIの検出、APIエンドポイントの分析、攻撃(テスト)を行う必要があり、そのために必要な情報がすべて記載されている。また、実習のためのツールと「やられサイト」を複数紹介し、具体的なトレーニング方法を解説している。単にツールやサイトの使い方の説明にとどまらず、本格的なペネトレーションテストの考え方を説明している。 本書の想定読者はAPIのペネトレーションテストを実施するペンテスター及びペンテスターを目指す人であるが、API開発者やウェブアプリケーション脆弱性診断員にとっても有益な内容を多く含む。 重要事項説明 本書の監修者の一人(洲崎俊氏)と評者は知人関係にある 評者が読んだ書
サイバーセキュリティのひみつ まんがひみつ文庫
トオルの同級生の間では、インターネットゲームの「熱風バトル」が大人気。トオルは友だちのお兄ちゃんにたのまれてゲームのパスワードを教えてしまったよ。そしたら、目の前にこわくて暗〜いお城(しろ)が現(あらわ)れた! お城から出てきたのは、サイ婆(ばば)と名乗る不思議なおばあさん。「おまえたちは大まちがいをおかした」と言ってこわい顔をしているよ。トオルたちがおかした大まちがいって一体何かな? プロローグ インターネットは便利 第1章 インターネットにひそむ危険 IDって何? パスワードって何? 第2章 情報は、今も昔も大事なもの バレやすいパスワードで起こる犯罪 第3章 パソコンに侵入するってどういうこと? 不正アクセス フィッシング詐欺 ネットバンキングと不正送金 コンピュータウイルス 第4章 情報はガードできる ウイルス対策ソフト 第5章 国や会社も危ない ハッカー集団によるサイバー攻撃 第
エフセキュアブログ : もしもDEFCON CTF優勝者が防衛省サイバー防衛隊に入ったら
もしもDEFCON CTF優勝者が防衛省サイバー防衛隊に入ったら 2013年09月05日10:16 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 福田和代さんが執筆した「サイバー・コマンドー」というタイトルの小説が発売になりました。 DEFCON CTF優勝経験者が防衛省サイバー防衛隊に入り、日本を巻き込んだサイバー戦争に立ち向かうというストーリーです。 CTFに関しては、なぜ自分がCTFをやるのかといった心意気からどうでもいいコネタにいたるまでを私が入れ知恵し、防衛省に関しては、元陸自システム防護隊初代隊長の伊東さんがアドバイスしていますので、妙にリアルな内容になっており、業界の人ならニヤリとするネタが満載です。 もちろんネタだけじゃなくて、今後起こりうるサイバー戦争のシュミレーションとしても価値のある一冊です。 プロモーションビデオもあるようです。
日経Linux2013年1月号に「“誤認逮捕”から利用者を守るWebサイト構築法」という記事を書きました
前に、「なりすまし犯行予告に悪用可能なWebアプリケーション脆弱性」というエントリで、なりすまし犯行予告に開くよう可能なWebアプリケーションへの攻撃手法として以下の5種類を挙げましたが、このテーマに関して、日経Linux2013年1月号に「“誤認逮捕”から利用者を守るWebサイト構築法」という記事を書きました。 CSRFXSSHTTPヘッダインジェクションクリックジャッキングDNSリバインディング今回の寄稿では、上記の原理と対策について書いています。紙の雑誌となりますが、よろしければお読み頂ければと思います。 また、この記事のコラムとしてTorの解説があります。編集部からは当初、徳丸自身が書くか、誰か適当な方を紹介して欲しいという要求でしたが、迷うことなく北河拓士さん(@kitagawa_takuji)に寄稿を打診したところ、快諾をいただきました。このコラム「暗号化の“皮”を重ねて匿名性
徳丸本の台湾版が発売開始されました - ockeghem's blog
拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」が中国語繁体字に翻訳され、台湾で販売開始されましたので報告します。出版社の紹介ページ。 @kuroneko_stacyさんが、早くも台湾で購入されたそうで、書店での平積みの様子を写真にとって下さいました。画像をクリックすると拡大します。 昨日見本が届きましたので、いくつか写真を紹介します。まずは表紙。 謝辞のところ。 人気の(?)3章、悪人と銀行員の会話。 台湾の本屋さんのコメント(@kuroneko_stacyさんと現地本屋さんの会話) 徳丸本、台湾でも人気だそうです。本屋のおじちゃんが良さを熱く語ってくれました。「この本は凄く良くできている!日本人が書いているんだ。知ってたか?」って聞かれたので、おこがましくも著者は友人ですよって言わせていただきました(笑) https://twitter.com/kuronek
Android Security 本 販売開始
今回初めて本を出す事になったため、ワクワクしています。 早い本屋には昨日ぐらいに並ぶかもと言われ、見に行ったりしましたが、残念ながら並んでいませんでした。 今日こそ!と思い秋葉の書泉言ってみるとありました!感無量です! 次に、秋葉ヨドバシの上の有燐堂に行って見ましたが、残念ながらまだありませんでした。 まぁ、ジャンプだって店によって出ている日が違うし、こんなもんなんでしょう しかし、取った写真をTwitterで流していたら、「本屋でカメラ使わない方がいいよぉー」との指摘 本を買わずにカメラで1ページ1ページ取る人がいるとかなんとか、そういえばそんな話を聞いたことがあるなぁと 思い出してみたり… 本の中を見てみるとわかるのですが、Logcatのキャプチャーとかは6月とかの物があったりして、本当に長い時間がかかりました。今回インプレスさんから出させていただきましたが、出版社と契約するのも初めて
oreilly.co.jp -- Online Catalog: Ajaxアプリケーション & Webセキュリティ
Ajaxは、昨今のWebサービスでは欠かせないものとなっていますが、そのインタラクティブ性の高さゆえに多くの脆弱性を抱えており、セキュリティがますます重要になってきています。本書はAjaxアプリケーションをはじめ、Web 2.0関連のテクノロジやWebサービス全般に関しても幅広くカバー。セキュリティに関する基本知識やWebアプリケーションの持つ脆弱性にも詳しく触れています。実際に多数のアクセスを集めているWeb 2.0サイトでのケーススタディなども交え、安全なWebアプリケーションを構築するために必要な知識をコンパクトにまとめています。 はじめに 1章 Webの進化 1.1 Webの始まり 1.2 HTTP(Hypertext Transfer Protocol) 1.3 HTTPトランザクション 1.4 レスポンス 1.5 HTTPメソッド 1.5.1 メソッドの安全性 1.5.2 べき
実践 パケット解析
WiresharkはEtherealプロジェクトから派生した人気のネットワークアナライザです。インストールも簡単ですぐにパケットをキャプチャできます。しかしキャプチャしたパケットの分析は、簡単とはいえません。本書は、Wiresharkでプロトコルの中身を見ながらネットワーク上で実際に何が起こっているかを理解する方法について学ぶ、ネットワークトラブルシューティングの指南書です。ネットワーク上で起こるさまざまな問題に対応しなければならい技術者必携の一冊です。 監訳者まえがき まえがき 1章 パケット解析とネットワークの基礎 1.1 パケット解析とは? 1.2 パケットスニッファの評価 1.2.1 サポートされているプロトコル 1.2.2 ユーザーフレンドリかどうか 1.2.3 コスト 1.2.4 スニッファのサポート体制 1.2.5 OSのサポート 1.3 パケットスニッファの仕組み 1.3.
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
話題のPHP入門書『作りながら基礎から学ぶPHPによるWebアプリケーション入門』について
http://bogus.jp/wp/?p=1371
自著を語る「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践」徳丸 浩(ブックレビュー) | ScanNetSecurity