社内勉強会で本を紹介する機会があり、PHPサイバーテロの技法という本について発表してきました。

攻撃方法に注目したセキュリティのレファレンス

Webセキュリティの本だと「体系的に学ぶ　安全なWebアプリケーションの作り方」通称「徳丸本」が 有名だけれども、この本は「攻撃方法に注目する」という点ですごく特徴的。

「攻撃方法は全14種」と言い切ってしまっているところに網羅性に対する自信が感じられる。

ユーザーを信用しないのが大切

様々な攻撃方法をみていると共通して考えなければいけないのは「ユーザーの入力を直接システムに渡すな」ということ。

入力は必ずサニタイズをかける。表示する際はエスケープをかける。ファイル読み込みやコマンド実行をする場合には特に注意。 Webは基本的に全世界にアプリケーションを晒しているからオプトアウトのスタンスで作るのが基本ですね。

2005年発売と結構古いので注意

10年の歳月はとっても長かった。 PHPのバージョンが4〜5.1を想定されていて、新しく知る必要のないものもしばしば。

mysql_query()はPHP5.5.0から非推奨になったし、register_globalsディレクティブは5.4.0で削除。 safe_modeも亡くなったしuse_only_cookiesはデフォルトで有効なのが普通。

読むときは必ずPHPのドキュメントなどの最新情報と照らし合わせながら読むべし。