@kyanny's blog

流行はつねに前進していく。そして、精神の偽りの自由が絶えずせり上がっていく - ロマン・ロラン

「PHP サイバーテロの技法」を読んだ

PHPサイバーテロの技法―攻撃と防御の実際

PHPサイバーテロの技法―攻撃と防御の実際

http://d.hatena.ne.jp/antipop/20051203/1133580613 で紹介されていたので、買って読んでみた。

えーこれはマジで大事な本です!ぶっちゃけクロスサイトスクリプティング脆弱性の仕組みとかよくわかってませんでした!HTTPレスポンス分割攻撃とか想像したこともありませんでした!すいませんでした!今後はこの本を繰り返し読んで正しい知識を身につけます!

とまあ、とても大事なことが書いてある本だった。まだ全部は読めていないんだけど、実際に脆弱性があるコード、脆弱性を修正したコードの両方が、脆弱性の種類ごとにサンプルとして豊富に記載されている。XSSの仕組みとか、理屈を一読しただけではイマイチつかみづらいんだけど、コードがあると何がダメなのか理解しやすくなる。実際に動かしてみることができるし。

本の構成としては、ちょっとわかりづらいかな、という点もあった。突然何十ページも後ろの項を参照しろと但し書きがあったと思うと、前の方のページのコードをみよと巻き戻されたりする。頭から通して読むべきではあるんだけど、通読できたらOK、という風にはなっていないようだ。辞書のように、常に必要な箇所を引っ張ってきて読む、というのがあっているのかな。

脆弱性一覧とその対策がリストアップされている部分は、すでにこんなこと常識として暗記してますよっていうWebプログラマの鑑な方にも、手軽に確認できるチェックリストとして使えると思うので、是非手にとって読んでみてほしい。お値段も、本体価格1800円と、技術書にしては安いほうだ。値段が安い=薄い=軽い、と、持ち歩いて通勤時に読むのも楽だし。