Web アプリケーション開発の初学者が最初につまづくのは、どのようにして、どういった内容を学習すればよいのかということだと思います。
この時にインターネットを検索して対策方法を求めようとしても間違った情報を信じてしまい、Web アプリケーションに脆弱性を組み込んでしまうことがあるという問題があります。
この点について、セキュリティコンサルタントの徳丸浩さんが以下の記事を書かれています。インターネットの情報がいかに不完全であるかということが分かると思います。
- 「SQLインジェクション対策」でGoogle検索して上位15記事を検証した – ockeghem(徳丸浩)の日記
- 「クロスサイトスクリプティング対策」でGoogle検索して上位15記事を検証した | 徳丸浩の日記
私自身もまだセキュリティ対策情報が普及する前に、大手メディアがクロスサイトスクリプティングという脆弱性の対策はサニタイジング(特定文字列を無害化する手法)が正しいと解説していて、それを信じてしまったことがあります。正確には間違いとまでは言えないのですが根本的な対策でもありませんでした。
ですので、みなさんがセキュリティ対策を学ぼうと思ったら信頼出来る情報源を見つけることが重要です。
現時点で信頼出来る情報源は、IPAが公開している「安全なWebサイトの作り方」などの資料や、セキュリティコンサルタントの徳丸浩さんが書かれている「体系的に学ぶ 安全なWebアプリケーションの作り方」になるでしょう。これらの資料は以下のページにまとめてありますのでご参照ください。
このサイトの情報は、信頼出来る情報源と私の経験を元に解説していきます。時には的を射ていない内容になるかもしれませんが、その時はご指摘ください。みなさんと一緒に学んでいきたいと思います。
- 信頼できる情報源を見つけて学ぼう
参考
Webアプリケーションセキュリティに関する記事は、以下のページにまとまっています。ぜひご確認ください。
コメント