読書感想文「実践理解! Webアプリケーションセキュリティ」
概要
書籍「実践理解! Webアプリケーションセキュリティ」を読了しました。
読書感想文を書いてみます。
読もうと思った背景
長らくWebアプリケーションセキュリティに触れておらず、情報のアップデートが必要だと感じていました。
そんな中、自分が参加している輪読会にて、次に読む書籍にこの本が抜擢されたことが決定打となり、読書に踏み切りました。
本文概要
Web アプリケーションの脆弱性はもちろん、Webアプリケーション関連技術についても解説があります。
第一章が「敵を知れ」とある通り、全体的に攻撃者の視点を取り上げています。
具体的には、脆弱性の説明にて「攻撃者はこうする」、「攻撃者ならこう考える」などが併記されています。
攻撃者の視点が記載されていることにより、各種脆弱性対策を行う理由や対策の効果を、より理解できるような構成になっています。
類似する本には 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版(通称 徳丸本)があります。
本書は比較的新しい攻撃(セッション固定攻撃やSSRFなど。チョイスは自分の独断と偏見です)にも言及されており、攻撃の他にも被害を受けた際の対処、事前に行っておくことなど(≒インシデントレスポンス)にも軽く触れております。
一方で、徳丸本ほど詳細なエクスプロイトコードは無く、徳丸本の付録にあった攻撃を試すことができる環境などもありません。
教訓・学び・感想
Webアプリケーションの脆弱性は一通り網羅されている感じでした。
そのため、過去に読んだ徳丸本と被っている個所もあり、「徳丸本にも書いてあったな」と、復習しつつ読むことができました。
脆弱性の復習もそうですが、脆弱性対策で HTTP リクエスト/レスポンスの解説や各種セキュリティ設定(CORS, CSP, SameSite=Lax など)にも復習・学びがありました。
Web アプリケーション開発に触れる機会が少ないため、Web セキュリティ、基本的な Webアプリケーションの技術、設定を復習する良い機会となりました。
◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇
攻撃者の視点を頭に入れておくのは、効率的な防衛策を考える上では非常に重要です。
この辺りは Certified Ethical Hacker の資格取得を通して学んだつもりでしたが、あまり実践する機会はなく、風化しつつありました。
本書で攻撃者の視点を重要視していることから、攻撃者の視点の重要性を再認識しました。
◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇
本書で強く印象に残っているのは「5.8 自分の過ちを認める」という節です。
どんなに対策してもセキュリティインシデントは避けられない。事故や学習から正しい教訓を学び、プロセスを改善して再発防止を図ることが重要だ...という主旨ですが、セキュリティに限らず重要なことだと思います。
特にアプリケーションのインシデントレスポンスでも同じ心がけが有効だと思います。
「失敗から学び、次に活かす」姿勢は常に意識したいものです。
Discussion