midnight in a perfect world

webエンジニアのメモ

「ホワイトハッカー入門」を読む。

ペネトレーションテストの教科書」に引き続き、セキュリティ系の技術本を読んでみる第2弾。

timit.hatenablog.com

それほど濃ゆい内容ではないけど、面白かった。「ペネトレーションテストの教科書」と内容が重複している部分もあるが、本書はもう少しITコンサルや上流SIerやセキュリティコンサルの入門書といった感じ。実践的なサイトの紹介やkali linuxを使ったコマンdの紹介もあるが、ガッツリ使う人よりは概要を知りたい人向け。

概要としては、攻撃者の視点と対抗者の視点が章ごとに移り変わるため、どちらの心境で読むのかが少し分かりづらい構成になっている。全体的には、「攻撃者が特定のターゲットを攻める時にどのような手法を使って攻撃するか」というのを、情報収集〜ハッキング〜継続的なハッキングの環境構築〜痕跡の消去みたいな流れで読み進めていくことになる。その過程で主客が入れ替わりつつセキュリティの知識を身に付けられるという感じ。

セキュリティを考慮したサービスを構築するエンジニアからすると、本書の前半の方が読み応えがあると思われる。実際に自分が担当してるサービスでIDP/IDSやWAFのレイヤでTCPのsynスキャンやsynフラッドは起きていて都度調査しているし、フットプリンティングの手法の紹介は勉強になった。

あとはコーディングの段階で、SQLインジェクションなどの主要な攻撃に対してサニタイズがどのくらい機能するかという問いはリアルで面白かった。対策に対してクイズ形式でどのコーディングがどの程度効果があるかを読者に問うのだが、見事に外れたりすると緊張感が高まって読んでいて面白い。この辺りは知らないとなかなか知見がつきづらい分野だと思うので、フロントエンドだけでなくwebエンジニアが知っていて損のない内容になっていると思う。