PHP サイバーテロの技法（攻撃と防御の実際）

2010年6月8日

PHPプログラマ（ＷＥＢ系、ほとんどＷＥＢ系だと思うが）は必見の本でした。

クロスサイトスクリプティング対策
SQLインジェクション
CSRF（クロスサイトリクエストフォージェリー）
ヌルバイト攻撃
ディレクトリトラバーサル
セッション攻撃
HTTPレスポンス分割攻撃
インクルード攻撃
eval利用攻撃
外部コマンド実行
ファイルアップロード攻撃
セッションハイジャック
スパムメール踏み台

等、より実戦的なサンプルコードと共に、注意点などをきっちり紹介してくれています。

個人的にはCSRF攻撃が、漠然とした理解しか出来ていなかったので、
p66
にて具体的な対応方法が３つ紹介されているのは参考になりました。

ワンタイムチケット法が一番と思いますが、詳細は本を買って読んでください。

またセッションハイジャックについては
p106
にて紹介しているIPアドレスチェックがいいのかな？とも思います。
PHPの設定でクッキーオンリーにしたりするのは、
携帯サイト等の場合は出来ないので・・・。

何にせよ、1日1時間でも読み込むと非常に勉強になると思いました。

書籍レビュー

PHPでCSRF対策（ワンタイムチケットの発行）

はじめてのAIアプリケーション

コメント一覧

まだ、コメントがありません

PHP サイバーテロの技法（攻撃と防御の実際）

リモートワークを12年続けてきたITエンジニアが、メリットとデメリットを語る