ペネトレーションテストの代表的ツールであるmetasploitを解説するはじめての本といえます。 セキュリティ担当者必携の書
この書籍では、攻撃は槍で突くようなもので、いくら全身武装していても、少し隙間があるとそこを突かれて致命傷になることもある、みたいなことが書かれていたのですが、それを実例で示してくれていると思います。
攻撃手法はPHPの経験があればけっこう思い付きそうなのですが、それを防御するとなると、これはかなり骨が折れるという印象を持ちました。いまのところ、PHPのセキュリティについて扱っている本はこれしかないようです。
また、値段が破格の1800円は驚きです。たぶん2800円でも買っていたと思います。それぐらいの価値は十分あります。
これからセキュリティを学びたいという人におすすめしたい本です. 500ページ強からなる本書のうち,はじめの130ページ少々がC言語の使い方やメモリの使われ方の話に充てられています. そのため,C言語の理解が曖昧(ざっと入門書に目を通した程度)な方でも基本から復習しながら読み進められると思います. アセンブリ言語についても簡単な解説がありますが,本書だけで完全に理解するのは難しいと思うので,他の本を読んだ方が良いでしょう. ネットワークに関する章は,TCP/IPに関する知識があると理解が進みやすいと思います.
基本的には,自作の*nix上のアプリケーションに対しGDBを用いて解析をすすめ,脆弱性を利用してシェルコードを起動するということを繰り返し,少しずつ手法を洗練していくという流れです. なので,Windowsアプリケーションをクラックしたいというような目的の方には向かないかもしれません.
一部おかしな訳があって首を捻ってしまいましたが,概ねわかりやすい訳だと思います.
以前からこのツールに興味を持っていまして、 今回Nessus本が出ることをAmazonで知り、 予約注文し購入してみました。
操作の手順がわかりやすいのと、プラグインの解説が豊富な点がよかったです。 たとえばメールのプロトコルSMTPが攻撃を受けそうな場合は 54582番のプラグインが教えてくれる仕組みになっているなど、 付録に詳しく書かれていて参考になりました。
この本にも書かれているように、 PCに対する攻撃はウイルスだけとは限らないので、 一度、自分のPCの脆弱点を調べてみたい方に良いと思います。 ちなみに本の画面例のようにループバックアドレスを入力すると、 自分のPCの脆弱点は簡単にわかるようになっています。
日本語で書かれているWebアプリケーションのセキュリティに関する本では最も良い本だと、社内のトップセキュリティテスターが言っていました。
テスター達は、SyngressのSQLインジェクションだけについて書かれた分厚い本など、基本的には和訳されていない本やネットから入手したホワイトペーパー等を読んでいますが、深くまで知って俯瞰できる彼らから見てもバランスの良い本だとのことです。
当社では、新人さんとセキュリティの営業担当者は必読書となっています。
|