ウェブアプリケーションセキュリティ

タイトル通りウェブアプリケーションのセキュリティについて書かれた技術書。
約500ページのボリュームにも驚くが、内容も十分に濃い。
特にSQLインジェクションに関する章には驚かされた。MQL Server、Oracle、PostgreSQL、MySQLについてそれぞれセキュリティ上の特徴をあげ、どのように攻略していくかをこと細かく書いているのだ。
ウェブアプリのプログラムを行う人は、この章を読むだけでも十分勉強になるだろう。

著者の長所は、単にコンサルタント的にセキュリティ脆弱点を解説するのではなく、自身がプログラムを書いているのでプログラマーの視点からも解説できる点。しかも自身で作成したWAF(Guardian@jumperz.net)でセキュリティ観測もしており、どういう攻撃が来たかまで解説している。
言ってみれば、プログラマー、サーバ運用者、クラッカーの1人3役をこなしている。

XSSやCSRFなどの解説もあるのだが、個人的に気になったのはセッション管理。
Strictな言語でもPermissiveな言語でもSession Fixation には脆弱とのこと。たしかにStrictであっても攻撃者が取得したセッションIDをターゲットに使わせてしまえばStrictであってもダメだなあ。。。
対策としては、セッションの持つ価値が変化する際(ログイン、カートに入れる、決済等)にセッションIDを変更することか。。。たしかにそうだがプログラム面倒になるなぁ。。。

UNICODE文字の16進数表示は次のURLで見れるのか。
http://www.fileformat.info/info/unicode/char/search.htm

本書はウェブアプリ構築・運用に関わる人に読んでもらいたい1冊。