[書評]PHPサイバーテロの技法―攻撃と防御の実際
タイトルからハッカーの為の本のように思えますが、よりセキャアなプログラムを書く為の、PHPプログラマーの為の一冊です。
本書で紹介されている、よくあるWebアプリケーションの脆弱性は以下の通り。
- XSS(クロス・サイト・スクリプティング)
- Script Insertion(クライアント・サイド・スクリプト埋め込み攻撃)
- SQL Ingection(データベースへの問い合わせの乗っ取り)
- CSRF(クロスサイト・リクエスト・フォージェリー)
- ヌルバイト攻撃
- Directory Traversal(ディレクトリ遡り攻撃)
- 変数汚染攻撃
- HTTPレスポンス分割攻撃
- インクルード攻撃
- eval利用攻撃
- 外部コマンド実行攻撃
- ファイルアップロード攻撃
- セッションハイジャック
- スパムメール踏み台攻撃
代表的な脆弱性ですけれども、どれも知らなければ防ぐことは出来ないのはもちろん、防ごうという発想すら思い浮かばないのが多数あります。
クラッカーと呼ばれる人たちの大半は、これらの脆弱性を見つけて攻撃を行ってきます。ですので、これらさえ気をつければ、限りなくセキュアに近いWebアプリケーションの開発が可能になります。
(完全にセキュアなプログラムを開発するのは無理ですが)
PHPで開発を行うなら必読の一冊ではないかと。
関連エントリー
PHPの欠点
ふつうのリロード対策
WEBデザイナーの為のXSS(クロスサイトスクリプティング)入門