テクノロジー セキュリティ 非公開: Web アプリケーションのセキュリティを学ぶには?

Web アプリケーションのセキュリティを学ぶには?

Web セキュリティは本当に重要な問題であり、何か悪いことが起こるのを待つよりも早くそれを認識する方が良いでしょう。

Web サービスやアプリケーションなどのテクノロジーの急速な進歩は、現代のビジネスに革命をもたらしました。多くの企業はほとんどの業務をオンラインに移行し、従業員やビジネス パートナーが世界中のどこからでも簡単にコラボレーションし、リアルタイムでデータを共有できるようになりました。

最新の HTML5 Web アプリと Web 2.0 が導入されてから、顧客の要求は変化しました。今では、誰もが必要な情報に 24 時間 365 日アクセスしたいと考えています。その結果、オンライン ビジネスもデータを常に利用できるようにする必要に迫られています。

世界的なロックダウン期間は、在宅勤務をしている人やオンライン小売業者にとっては非常に良かったかもしれませんが、サイバー犯罪者にも多大な恩恵をもたらしました。

オンライン取引とリモートワークの増加により、彼らは大量のクレジットカード情報をハッキングし、リモートワーカーとその組織を標的にすることが可能になりました。この進歩により、時折新しい脅威ベクトルを開発する詐欺師や悪意のあるハッカーも招き入れられました。

今年、企業の約 80% で サイバー攻撃の急増が見られた一方、コロナウイルスの影響で銀行に対する脅威が 238% 増加したと 報告書は 述べています。

これらすべての攻撃を軽減するために、Web アプリケーション セキュリティははるか昔に誕生しました。そしてこの業界は、組織をデータ、資金、消費者の信頼の喪失から救うことができる才能ある専門家を必要としています。

これがこの記事の目的であり、セキュリティ、Web セキュリティ専門家に期待されること、スキルを学び習得できる情報源について理解できるようにすることです。

それで、始めましょう?

コンテンツ 表示

Web アプリケーションのセキュリティとは何ですか?

Web セキュリティ、サイバーセキュリティ、または Web アプリケーション セキュリティは、アプリケーションのコードに関連する脆弱性を悪用したさまざまな脅威からオンライン サービスや Web サイトを保護する方法です。

これらの攻撃の一般的なターゲットには、phpMyAdmin などのデータベース管理ソリューション、SaaS アプリケーション、WordPress などのコンテンツ管理システム (CMS) などがあります。

Web セキュリティは、不正なアクセス、使用、破壊/中断、または変更を拒否することで、そのような攻撃を防ぐことを目的としています。

では、攻撃者が Web アプリケーションを広範囲に標的にする理由は何でしょうか?

  • アプリケーションのソース コードに固有の複雑さにより、コード操作だけでなく脆弱性が発生する可能性も高まります。
  • アプリケーションは簡単に実行できます。したがって、攻撃者はほとんどの攻撃を簡単に開始または自動化でき、一度に数千のアプリケーションを標的にすることができます。
  • 金銭的略奪品だけでなく、ソースコード操作による機密データや個人データを含む高価な略奪品

一般的なタイプの脆弱性

クロスサイト スクリプティング (XSS)

XSS を使用すると、攻撃者は Web ページにクライアント側のスクリプトを埋め込み、重要なデータに直接アクセスしたり、ユーザーをだまして重要なデータを開示させたり、ユーザーになりすますことができます。その影響には、アカウントへのアクセス、トロイの木馬のアクティブ化、ページ コンテンツの変更などが含まれます。

クロスサイト リクエスト フォージェリ (CSRF)

CSRF は、被害者が自分の承認または認証を利用したリクエストを行うように騙します。したがって、攻撃者はこれらのアカウント権限を通じて、ユーザーになりすましてリクエストを行うことができます。資金移動やパスワード変更などが行われる可能性があります。

サービス拒否 (DoS) および分散型サービス拒否 (DDoS)

攻撃者は、さまざまな攻撃トラフィックでターゲットのサーバーやそのインフラストラクチャに過負荷をかけます。サーバーがわずかなリクエストを効果的に処理できなくなると、動作が遅くなり、最終的には正規の訪問者からのリクエストであっても、さらに受信するリクエストに対してサービスを拒否します。

SQLインジェクション 💉

データベースが検索クエリを実装する方法と同様に、攻撃者が脆弱性を悪用するために使用する方法。攻撃者は SQI を利用して、未承認のデータへのアクセス、ユーザー権限の作成または変更、機密データの破壊または操作などを行います。

リモートファイルの組み込み

攻撃者はこれを使用して、コードを含む悪意のあるファイルを Web アプリ サーバーに挿入し、これらのコードを実行してアプリケーションに損害を与え、操作し、データ盗難を実行します。

その他

その他の攻撃には、メモリ破損、データ侵害、クリックジャッキング、ディレクトリ トラバーサル、コマンド インジェクション、バター オーバーフローなどが含まれます。

Web セキュリティが時代のニーズであること、そしてそれがアプリケーションに脅威を与え、経済的または評判の面で損害を与える前に、誰もができるだけ早く Web セキュリティを実装する必要がある理由を十分に理解していただければ幸いです。

需要が高まっているため、多くの人が学びに名乗りを上げています。そして、この主題を学ぶことに熱心であれば、それは素晴らしいキャリアの選択肢となり、個人レベルでも有益になる可能性があります。

Web セキュリティ専門家は何をするのですか?

Web セキュリティの専門家は、Web アプリケーション、関連ネットワーク、およびアプリケーション データの保護を担当します。ネットワークを監視し、脅威に対応することで、データ侵害を軽減します。

これらの専門家は、ネットワーク管理者またはシステム管理者、プログラマーとしての経歴を持っています。この分野には好奇心、批判的思考、研究への情熱、学習が必要だからです。さまざまな脅威を開発し注入する「破壊的創造力」を持つハッカーを出し抜くことができなければなりません。

セキュリティの脅威がいつでも現れる可能性があるため、セキュリティ専門家は、ハッカーがシステムやネットワークに侵入するために使用する最新の戦術を常に最新の状態に保つ必要があります。 Web セキュリティ専門家の責任には次のようなものがあります。

  • Web アプリケーション、データベース、暗号化の脆弱性を見つけます。
  • セキュリティ問題を修正して攻撃を軽減する
  • 監査を定期的に実行して、セキュリティのベストプラクティスを確保します
  • エンドポイントの防止および検出ツールを導入して、悪意のある攻撃を防止します。
  • クラウドとオンプレミスの資産全体にわたる脆弱性管理のためのシステムを導入する
  • 攻撃が発生した場合にクリーンアップを処理する
  • 他の IT 運用と協力して災害復旧を計画します。
  • チームリーダーや人事部と協力して、不審なアクティビティを検出できるように全従業員を教育します。

Web アプリケーションを保護するためのセキュリティのベスト プラクティス

Web アプリケーション ファイアウォール (WAF) の使用

WAF は、Web アプリケーションを悪意のある HTTP リクエストから保護するのに役立ちます。攻撃者とサーバーの間に障壁を置きます。 XSS、CSRF、SQL インジェクションなどの脅威からレイヤー 7 を保護できます。

DDoS 軽減

名前が示すように、アプリケーションの DDoS 攻撃とネットワーク層攻撃を軽減し、Web サイト、アプリケーション、サーバー インフラストラクチャを保護するために使用されます。

ボット 🤖 フィルタリング

これは、不正なボット トラフィックをフィルタリングして除外するために実装されています。

DNS保護

これは、パス上の攻撃や DNS キャッシュ ポイズニングによる DNS リクエストのハイジャックから保護するために行われます。

HTTPSの使用

HTTPS は、サーバーとクライアントの間で交換されるすべてのデータを暗号化し、ログイン資格情報、ヘッダー情報、Cookie、リクエスト データなどを保護します。

したがって、Web アプリケーションのセキュリティを学習することに決めた場合は、次の学習リソースを参照してスキルを磨くことができます 🧑‍💻。

Web アプリケーションのセキュリティを学ぶには?
Web アプリケーションのセキュリティを学ぶには?

ポートスウィガー

PortSwigger によるさまざまなサイバーセキュリティ ツールの主要プラットフォームである Burp Suite のメーカーから学びましょう。これは、サイバーセキュリティ分野でのキャリアアップを可能にするオンラインの無料トレーニングです。

インタラクティブなラボを使用すると、いつでもどこからでも学習でき、時間の経過とともに進捗状況を追跡できます。ビジネス ロジックの脆弱性、情報漏洩、Web キャッシュ ポイズニング、安全でない逆シリアル化、SQL インジェクション、XSS、CSRF、XXE インジェクションなどに関するトレーニングを提供します。

PortSwigger の学習教材は、経験豊富な専門家、研究チーム、およびその創設者 Dafydd Stuttard によって作成されています。彼は、「Web Application Hacker’s Handbook」という有名な本の著者でもあります。

プレビュー 製品 評価 価格
Web アプリケーション ハッカーのハンドブック: セキュリティ上の欠陥の発見と悪用 Web アプリケーション ハッカーのハンドブック: セキュリティ上の欠陥の発見と悪用 $34.20 アマゾンで購入する

チュートリアルはテキストとビデオコンテンツで包括的に説明されており、重要なポイントを簡単に覚えることができます。彼らのインタラクティブなラボはコース全体をエキサイティングなものにしており、ハッキング スキルをテストするための現実的なパズルが課される場所です。

Web アプリケーションのセキュリティを学ぶには?
Web アプリケーションのセキュリティを学ぶには?

EdX

EdX の Web Security Fundamentals は、基本原則を理解するのに最適です。一般的な攻撃の概要と、それぞれの攻撃に適した対策を演劇的かつ実践的に説明します。

また、Web アプリケーションを保護するために現在普及しているセキュリティのベスト プラクティスについても説明します。コースに参加する場合、必ずしもセキュリティに関する事前の知識は必要ありません。しかし、そうすれば、HTTP、JavaScript、HTML などをよりよく理解するのに大いに役立ちます。

コース期間は 5 週間で、週に 4 ~ 6 時間が含まれます。学習は完全に無料です。ただし、ご希望の場合は、48.97 米ドルを支払って、教育機関のロゴが入った検証済みの講師署名証明書を取得することができます。この証明書は就職の可能性を高めるために使用でき、LinkedIn で共有したり、履歴書や CV に組み込むことができます。

Web アプリケーションのセキュリティを学ぶには?
Web アプリケーションのセキュリティを学ぶには?

スタンフォード

スタンフォード大学 の CS 253 Web セキュリティ コースでは、完全な Web セキュリティの概要を提供し、一般的な Web 攻撃とその防御方法を学生に理解させることを目的としています。このコースでは、Web セキュリティの基礎だけでなく、高度な知識もカバーします。

トピックには次のようなものがあります。

  • Webセキュリティの原則
  • 攻撃と対策
  • Webアプリケーションの脆弱性
  • ブラウザのセキュリティモデル
  • インジェクション、DoS、TLS 攻撃
  • フィンガープリンティング、プライバシー、同一生成元ポリシー、認証、クロスサイト スクリプティング、JavaScript セキュリティ
  • 多層防御
  • 新たな脅威
  • 安全なコードを書くためのテクニック、セキュリティエクスプロイト
  • 進化する Web 標準を実装し、脆弱な Web アプリを防御する

このコースを受講するには、CS 142 または Web 開発におけるその他の同等の経験が必要です。ここでは出席が必須であり、成績評価は以下に基づいて行われます。

  • 課題の 75%
  • 最終試験で 25%

より適切に準備するために、 2019 年の最終試験 の解答と CS 253 のその他の サンプル問題を 読むことができます。

初心者に優しい

間違いなく、 Udemy は さまざまなコースをオンラインで学習するのに最適な場所の 1 つです。 Web アプリケーションのセキュリティもその 1 つです。初心者の場合、事前のコーディング知識は必要ないこのコースは最適です。

このコースでは、次のことを学びます。

  • OWASP または Open Web Application Security Project によって検出されたベスト 10 の脅威の特定
  • これらの脅威を軽減する方法を理解する
  • それぞれの脅威がビジネスに与える影響
  • 攻撃者がこれらの脅威を実行する方法

このコースは最も簡単な言語で説明されているため、インターネットやコンピューターに関する情報がほとんどない人でも理解できます。徹底した防御、なりすまし、情報漏洩、改ざん、否認、特権昇格、DoS についても説明します。

経験豊富な講師が、Web セキュリティの基本を習得するために必要なすべてを教えてくれます。

コーセラ

リストにあるもう 1 つの非常に優れたオプションは Coursera です。これは、OWASP ZAP または Zed Attack Proxy の使用方法を説明します。このツールは、セキュリティ専門家だけでなくペネトレーションテスターも脆弱性を見つけるのに役立ちます。

  • 脆弱性のスキャン、スキャン結果の分析、そこからレポートを生成する方法などを説明します。
  • また、Web サイトを探索して応答とリクエストを受動的にスキャンするためのブラウザーのプロキシ構成についても学習します。
  • Web アプリケーションとブラウザーの間で発生する Web リクエストを表示、傍受、転送、および変更する方法についての簡単な説明。
  • さらに、辞書リストを利用して Web サーバー上のフォルダーやファイルを検索する方法も学びます。
  • さらに、サイトをスパイダー クロールして URL やリンクを見つける方法も理解できたでしょう。

コースのインストラクターは、分割画面ビデオで各トピックを段階的にガイドします。クラウド上にあるため、ダウンロードに時間を無駄にする必要はありません。 Coursera は、追加費用なしですべてのプログラムに含まれる証明書を提供します。

ペンテスターラボ

PentesterLab は 基礎から上級レベルまでカバーします。脆弱性を手動で見つけて悪用する方法を教えます。すべての演習では、さまざまなシステムに見られる一般的な弱点や問題がカバーされています。

学習を向上させるために、実際のシステムと実際の脆弱性が提供されるため、エミュレーションなしでリアルタイムで学習できます。オンライン演習により、コース完了後に証明書を取得できます。すべての演習はバッジに分かれており、完了すると証明書を取得できます。

YouTube

YouTube は 知識のハブです。正しい方法で使用する必要があります。

そこで、YouTube には 50 万 5,000 人のチャンネル登録者を持つ Google Chrome Developers というチャンネルがあり、調べて学ぶことができます。

このチュートリアルでは、いくつかの典型的な攻撃ベクトルと、データ、ユーザー、評判を保護する方法を理解できます。次に、防御と攻撃の両方を含むトピックについての簡潔な講義と実践演習を提供することを目的とした新しいコースを紹介します。

モジラ

Mozilla の MDN Web ドキュメント を参照し、Web セキュリティに関する役立つ記事にアクセスしてください。ここにリストされている記事は、コンテンツ セキュリティ、接続セキュリティ、データ セキュリティ、情報漏洩、データ整合性、クリックジャッキング保護、ユーザー データ セキュリティなど、さまざまなトピックをカバーしています。

これらの記事の情報は、Web サイトとそのすべてのコードをデータの盗難や攻撃から保護するのに役立ちます。混合コンテンツがブロックされているサイトを修正する方法、署名アルゴリズムなど、興味深いことを学ぶことができます。

インビクティ

Invicti による包括的な記事は、Web アプリケーションのセキュリティの核心を説明しています。初心者でも Web セキュリティで使用される用語とテクノロジーを理解できるように非常によく書かれています。

この記事では、Web アプリのセキュリティに関する通説と基本について説明し、現在の企業が Web サイトとアプリケーションのセキュリティを強化してサイバー攻撃者を寄せ付けないようにする方法について説明します。

ここでは次のことを学びます:

  • Web アプリケーションを保護する方法
  • 適切な脆弱性スキャナーの選択
  • 無料の Web 脆弱性スキャナーと商用の Web 脆弱性スキャナーの違い
  • 脆弱性スキャナーをテストする方法といつ使用するか
  • Web サーバーと他のコンポーネントを保護するためのベスト プラクティス

サンズ

Web アプリケーションの防御を目指す場合は、 SANS の SEC22 コースを受講してください。これは、Web アプリケーションに関連するすべてのセキュリティ脆弱性を理解し、Web 資産を保護するのに役立ちます。

このコースでは、アーキテクチャ、インフラストラクチャ、コーディングの緩和テクニックを実際の方法とともに紹介します。これらの脆弱性の性質を理解し、脆弱性が発生する理由とその軽減方法を理解できるようになります。

Web アプリケーションの管理、実装、防御を担当する人に適しています。これには、アプリ セキュリティ アナリスト、アーキテクト、開発者、監査、侵入テスターなどが含まれる場合があります。

このコースでは次のようなトピックを取り上げます。

  • OWASP の脅威ベスト 10
  • CWE 上位 25 ソフトウェア エラーの特定の問題
  • Web アプリにクラウドを統合する
  • アプリの言語設定
  • インフラストラクチャ構成とセキュリティ管理
  • 認証メカニズム
  • HTTPヘッダー
  • ビジネスロジックの欠陥
  • XSS、CSRF、SQL インジェクションなどのコーディング エラー。

Web アプリの概念と JavaScript や HTML などのテクノロジの基本を理解していれば、このコースを受講するのは問題ありません。

クラウドフレア

これは、 Cloudflare によるリスト内の別の記事で、Web アプリケーションのセキュリティについて説明しています。

正確には次のように説明されています。

  • この用語の意味は何かというと、
  • いくつかの典型的な脆弱性、そして
  • Web セキュリティの脆弱性を防ぐためのベスト プラクティス

この記事を読んで、Web アプリケーション セキュリティ プログラムに登録するときに非常に役立ついくつかの基本概念を明確にします。

結論

サイバー攻撃が急速に増加しているため、Web アプリケーションのセキュリティを学習することが重要になっています。

ではごきげんよう!

「 Web アプリケーションのセキュリティを学ぶには?」についてわかりやすく解説!絶対に観るべきベスト2動画

Security Study #1 「Webアプリケーションセキュリティ」
https://www.youtube-nocookie.com/watch?v=WMjol9xATSw&pp=ygVIIFdlYiDjgqLjg5fjg6rjgrHjg7zjgrfjg6fjg7Pjga7jgrvjgq3jg6Xjg6rjg4bjgqPjgpLlrabjgbbjgavjga8_JmhsPUpB

Web セキュリティは本当に重要な問題であり、何か悪いことが起こるのを待つよりも早くそれを認識する方が良いでしょう。

Web サービスやアプリケーションなどのテクノロジーの急速な進歩は、現代のビジネスに革命をもたらしました。多くの企業はほとんどの業務をオンラインに移行し、従業員やビジネス パートナーが世界中のどこからでも簡単にコラボレーションし、リアルタイムでデータを共有できるようになりました。

最新の HTML5 Web アプリと Web 2.0 が導入されてから、顧客の要求は変化しました。今では、誰もが必要な情報に 24 時間 365 日アクセスしたいと考えています。その結果、オンライン ビジネスもデータを常に利用できるようにする必要に迫られています。

世界的なロックダウン期間は、在宅勤務をしている人やオンライン小売業者にとっては非常に良かったかもしれませんが、サイバー犯罪者にも多大な恩恵をもたらしました。

オンライン取引とリモートワークの増加により、彼らは大量のクレジットカード情報をハッキングし、リモートワーカーとその組織を標的にすることが可能になりました。この進歩により、時折新しい脅威ベクトルを開発する詐欺師や悪意のあるハッカーも招き入れられました。

今年、企業の約 80% で サイバー攻撃の急増が見られた一方、コロナウイルスの影響で銀行に対する脅威が 238% 増加したと 報告書は 述べています。

これらすべての攻撃を軽減するために、Web アプリケーション セキュリティははるか昔に誕生しました。そしてこの業界は、組織をデータ、資金、消費者の信頼の喪失から救うことができる才能ある専門家を必要としています。

これがこの記事の目的であり、セキュリティ、Web セキュリティ専門家に期待されること、スキルを学び習得できる情報源について理解できるようにすることです。

それで、始めましょう?

コンテンツ 表示

Web アプリケーションのセキュリティとは何ですか?

Web セキュリティ、サイバーセキュリティ、または Web アプリケーション セキュリティは、アプリケーションのコードに関連する脆弱性を悪用したさまざまな脅威からオンライン サービスや Web サイトを保護する方法です。

これらの攻撃の一般的なターゲットには、phpMyAdmin などのデータベース管理ソリューション、SaaS アプリケーション、WordPress などのコンテンツ管理システム (CMS) などがあります。

Web セキュリティは、不正なアクセス、使用、破壊/中断、または変更を拒否することで、そのような攻撃を防ぐことを目的としています。

では、攻撃者が Web アプリケーションを広範囲に標的にする理由は何でしょうか?

  • アプリケーションのソース コードに固有の複雑さにより、コード操作だけでなく脆弱性が発生する可能性も高まります。
  • アプリケーションは簡単に実行できます。したがって、攻撃者はほとんどの攻撃を簡単に開始または自動化でき、一度に数千のアプリケーションを標的にすることができます。
  • 金銭的略奪品だけでなく、ソースコード操作による機密データや個人データを含む高価な略奪品

一般的なタイプの脆弱性

クロスサイト スクリプティング (XSS)

XSS を使用すると、攻撃者は Web ページにクライアント側のスクリプトを埋め込み、重要なデータに直接アクセスしたり、ユーザーをだまして重要なデータを開示させたり、ユーザーになりすますことができます。その影響には、アカウントへのアクセス、トロイの木馬のアクティブ化、ページ コンテンツの変更などが含まれます。

クロスサイト リクエスト フォージェリ (CSRF)

CSRF は、被害者が自分の承認または認証を利用したリクエストを行うように騙します。したがって、攻撃者はこれらのアカウント権限を通じて、ユーザーになりすましてリクエストを行うことができます。資金移動やパスワード変更などが行われる可能性があります。

サービス拒否 (DoS) および分散型サービス拒否 (DDoS)

攻撃者は、さまざまな攻撃トラフィックでターゲットのサーバーやそのインフラストラクチャに過負荷をかけます。サーバーがわずかなリクエストを効果的に処理できなくなると、動作が遅くなり、最終的には正規の訪問者からのリクエストであっても、さらに受信するリクエストに対してサービスを拒否します。

SQLインジェクション 💉

データベースが検索クエリを実装する方法と同様に、攻撃者が脆弱性を悪用するために使用する方法。攻撃者は SQI を利用して、未承認のデータへのアクセス、ユーザー権限の作成または変更、機密データの破壊または操作などを行います。

リモートファイルの組み込み

攻撃者はこれを使用して、コードを含む悪意のあるファイルを Web アプリ サーバーに挿入し、これらのコードを実行してアプリケーションに損害を与え、操作し、データ盗難を実行します。

その他

その他の攻撃には、メモリ破損、データ侵害、クリックジャッキング、ディレクトリ トラバーサル、コマンド インジェクション、バター オーバーフローなどが含まれます。

Web セキュリティが時代のニーズであること、そしてそれがアプリケーションに脅威を与え、経済的または評判の面で損害を与える前に、誰もができるだけ早く Web セキュリティを実装する必要がある理由を十分に理解していただければ幸いです。

需要が高まっているため、多くの人が学びに名乗りを上げています。そして、この主題を学ぶことに熱心であれば、それは素晴らしいキャリアの選択肢となり、個人レベルでも有益になる可能性があります。

Web セキュリティ専門家は何をするのですか?

Web セキュリティの専門家は、Web アプリケーション、関連ネットワーク、およびアプリケーション データの保護を担当します。ネットワークを監視し、脅威に対応することで、データ侵害を軽減します。

これらの専門家は、ネットワーク管理者またはシステム管理者、プログラマーとしての経歴を持っています。この分野には好奇心、批判的思考、研究への情熱、学習が必要だからです。さまざまな脅威を開発し注入する「破壊的創造力」を持つハッカーを出し抜くことができなければなりません。

セキュリティの脅威がいつでも現れる可能性があるため、セキュリティ専門家は、ハッカーがシステムやネットワークに侵入するために使用する最新の戦術を常に最新の状態に保つ必要があります。 Web セキュリティ専門家の責任には次のようなものがあります。

  • Web アプリケーション、データベース、暗号化の脆弱性を見つけます。
  • セキュリティ問題を修正して攻撃を軽減する
  • 監査を定期的に実行して、セキュリティのベストプラクティスを確保します
  • エンドポイントの防止および検出ツールを導入して、悪意のある攻撃を防止します。
  • クラウドとオンプレミスの資産全体にわたる脆弱性管理のためのシステムを導入する
  • 攻撃が発生した場合にクリーンアップを処理する
  • 他の IT 運用と協力して災害復旧を計画します。
  • チームリーダーや人事部と協力して、不審なアクティビティを検出できるように全従業員を教育します。

Web アプリケーションを保護するためのセキュリティのベスト プラクティス

Web アプリケーション ファイアウォール (WAF) の使用

WAF は、Web アプリケーションを悪意のある HTTP リクエストから保護するのに役立ちます。攻撃者とサーバーの間に障壁を置きます。 XSS、CSRF、SQL インジェクションなどの脅威からレイヤー 7 を保護できます。

DDoS 軽減

名前が示すように、アプリケーションの DDoS 攻撃とネットワーク層攻撃を軽減し、Web サイト、アプリケーション、サーバー インフラストラクチャを保護するために使用されます。

ボット 🤖 フィルタリング

これは、不正なボット トラフィックをフィルタリングして除外するために実装されています。

DNS保護

これは、パス上の攻撃や DNS キャッシュ ポイズニングによる DNS リクエストのハイジャックから保護するために行われます。

HTTPSの使用

HTTPS は、サーバーとクライアントの間で交換されるすべてのデータを暗号化し、ログイン資格情報、ヘッダー情報、Cookie、リクエスト データなどを保護します。

したがって、Web アプリケーションのセキュリティを学習することに決めた場合は、次の学習リソースを参照してスキルを磨くことができます 🧑‍💻。

Web アプリケーションのセキュリティを学ぶには?
Web アプリケーションのセキュリティを学ぶには?

ポートスウィガー

PortSwigger によるさまざまなサイバーセキュリティ ツールの主要プラットフォームである Burp Suite のメーカーから学びましょう。これは、サイバーセキュリティ分野でのキャリアアップを可能にするオンラインの無料トレーニングです。

インタラクティブなラボを使用すると、いつでもどこからでも学習でき、時間の経過とともに進捗状況を追跡できます。ビジネス ロジックの脆弱性、情報漏洩、Web キャッシュ ポイズニング、安全でない逆シリアル化、SQL インジェクション、XSS、CSRF、XXE インジェクションなどに関するトレーニングを提供します。

PortSwigger の学習教材は、経験豊富な専門家、研究チーム、およびその創設者 Dafydd Stuttard によって作成されています。彼は、「Web Application Hacker’s Handbook」という有名な本の著者でもあります。

プレビュー 製品 評価 価格
Web アプリケーション ハッカーのハンドブック: セキュリティ上の欠陥の発見と悪用 Web アプリケーション ハッカーのハンドブック: セキュリティ上の欠陥の発見と悪用 $34.20 アマゾンで購入する

チュートリアルはテキストとビデオコンテンツで包括的に説明されており、重要なポイントを簡単に覚えることができます。彼らのインタラクティブなラボはコース全体をエキサイティングなものにしており、ハッキング スキルをテストするための現実的なパズルが課される場所です。

Web アプリケーションのセキュリティを学ぶには?
Web アプリケーションのセキュリティを学ぶには?

EdX

EdX の Web Security Fundamentals は、基本原則を理解するのに最適です。一般的な攻撃の概要と、それぞれの攻撃に適した対策を演劇的かつ実践的に説明します。

また、Web アプリケーションを保護するために現在普及しているセキュリティのベスト プラクティスについても説明します。コースに参加する場合、必ずしもセキュリティに関する事前の知識は必要ありません。しかし、そうすれば、HTTP、JavaScript、HTML などをよりよく理解するのに大いに役立ちます。

コース期間は 5 週間で、週に 4 ~ 6 時間が含まれます。学習は完全に無料です。ただし、ご希望の場合は、48.97 米ドルを支払って、教育機関のロゴが入った検証済みの講師署名証明書を取得することができます。この証明書は就職の可能性を高めるために使用でき、LinkedIn で共有したり、履歴書や CV に組み込むことができます。

Web アプリケーションのセキュリティを学ぶには?
Web アプリケーションのセキュリティを学ぶには?

スタンフォード

スタンフォード大学 の CS 253 Web セキュリティ コースでは、完全な Web セキュリティの概要を提供し、一般的な Web 攻撃とその防御方法を学生に理解させることを目的としています。このコースでは、Web セキュリティの基礎だけでなく、高度な知識もカバーします。

トピックには次のようなものがあります。

  • Webセキュリティの原則
  • 攻撃と対策
  • Webアプリケーションの脆弱性
  • ブラウザのセキュリティモデル
  • インジェクション、DoS、TLS 攻撃
  • フィンガープリンティング、プライバシー、同一生成元ポリシー、認証、クロスサイト スクリプティング、JavaScript セキュリティ
  • 多層防御
  • 新たな脅威
  • 安全なコードを書くためのテクニック、セキュリティエクスプロイト
  • 進化する Web 標準を実装し、脆弱な Web アプリを防御する

このコースを受講するには、CS 142 または Web 開発におけるその他の同等の経験が必要です。ここでは出席が必須であり、成績評価は以下に基づいて行われます。

  • 課題の 75%
  • 最終試験で 25%

より適切に準備するために、 2019 年の最終試験 の解答と CS 253 のその他の サンプル問題を 読むことができます。

初心者に優しい

間違いなく、 Udemy は さまざまなコースをオンラインで学習するのに最適な場所の 1 つです。 Web アプリケーションのセキュリティもその 1 つです。初心者の場合、事前のコーディング知識は必要ないこのコースは最適です。

このコースでは、次のことを学びます。

  • OWASP または Open Web Application Security Project によって検出されたベスト 10 の脅威の特定
  • これらの脅威を軽減する方法を理解する
  • それぞれの脅威がビジネスに与える影響
  • 攻撃者がこれらの脅威を実行する方法

このコースは最も簡単な言語で説明されているため、インターネットやコンピューターに関する情報がほとんどない人でも理解できます。徹底した防御、なりすまし、情報漏洩、改ざん、否認、特権昇格、DoS についても説明します。

経験豊富な講師が、Web セキュリティの基本を習得するために必要なすべてを教えてくれます。

コーセラ

リストにあるもう 1 つの非常に優れたオプションは Coursera です。これは、OWASP ZAP または Zed Attack Proxy の使用方法を説明します。このツールは、セキュリティ専門家だけでなくペネトレーションテスターも脆弱性を見つけるのに役立ちます。

  • 脆弱性のスキャン、スキャン結果の分析、そこからレポートを生成する方法などを説明します。
  • また、Web サイトを探索して応答とリクエストを受動的にスキャンするためのブラウザーのプロキシ構成についても学習します。
  • Web アプリケーションとブラウザーの間で発生する Web リクエストを表示、傍受、転送、および変更する方法についての簡単な説明。
  • さらに、辞書リストを利用して Web サーバー上のフォルダーやファイルを検索する方法も学びます。
  • さらに、サイトをスパイダー クロールして URL やリンクを見つける方法も理解できたでしょう。

コースのインストラクターは、分割画面ビデオで各トピックを段階的にガイドします。クラウド上にあるため、ダウンロードに時間を無駄にする必要はありません。 Coursera は、追加費用なしですべてのプログラムに含まれる証明書を提供します。

ペンテスターラボ

PentesterLab は 基礎から上級レベルまでカバーします。脆弱性を手動で見つけて悪用する方法を教えます。すべての演習では、さまざまなシステムに見られる一般的な弱点や問題がカバーされています。

学習を向上させるために、実際のシステムと実際の脆弱性が提供されるため、エミュレーションなしでリアルタイムで学習できます。オンライン演習により、コース完了後に証明書を取得できます。すべての演習はバッジに分かれており、完了すると証明書を取得できます。

YouTube

YouTube は 知識のハブです。正しい方法で使用する必要があります。

そこで、YouTube には 50 万 5,000 人のチャンネル登録者を持つ Google Chrome Developers というチャンネルがあり、調べて学ぶことができます。

このチュートリアルでは、いくつかの典型的な攻撃ベクトルと、データ、ユーザー、評判を保護する方法を理解できます。次に、防御と攻撃の両方を含むトピックについての簡潔な講義と実践演習を提供することを目的とした新しいコースを紹介します。

モジラ

Mozilla の MDN Web ドキュメント を参照し、Web セキュリティに関する役立つ記事にアクセスしてください。ここにリストされている記事は、コンテンツ セキュリティ、接続セキュリティ、データ セキュリティ、情報漏洩、データ整合性、クリックジャッキング保護、ユーザー データ セキュリティなど、さまざまなトピックをカバーしています。

これらの記事の情報は、Web サイトとそのすべてのコードをデータの盗難や攻撃から保護するのに役立ちます。混合コンテンツがブロックされているサイトを修正する方法、署名アルゴリズムなど、興味深いことを学ぶことができます。

インビクティ

Invicti による包括的な記事は、Web アプリケーションのセキュリティの核心を説明しています。初心者でも Web セキュリティで使用される用語とテクノロジーを理解できるように非常によく書かれています。

この記事では、Web アプリのセキュリティに関する通説と基本について説明し、現在の企業が Web サイトとアプリケーションのセキュリティを強化してサイバー攻撃者を寄せ付けないようにする方法について説明します。

ここでは次のことを学びます:

  • Web アプリケーションを保護する方法
  • 適切な脆弱性スキャナーの選択
  • 無料の Web 脆弱性スキャナーと商用の Web 脆弱性スキャナーの違い
  • 脆弱性スキャナーをテストする方法といつ使用するか
  • Web サーバーと他のコンポーネントを保護するためのベスト プラクティス

サンズ

Web アプリケーションの防御を目指す場合は、 SANS の SEC22 コースを受講してください。これは、Web アプリケーションに関連するすべてのセキュリティ脆弱性を理解し、Web 資産を保護するのに役立ちます。

このコースでは、アーキテクチャ、インフラストラクチャ、コーディングの緩和テクニックを実際の方法とともに紹介します。これらの脆弱性の性質を理解し、脆弱性が発生する理由とその軽減方法を理解できるようになります。

Web アプリケーションの管理、実装、防御を担当する人に適しています。これには、アプリ セキュリティ アナリスト、アーキテクト、開発者、監査、侵入テスターなどが含まれる場合があります。

このコースでは次のようなトピックを取り上げます。

  • OWASP の脅威ベスト 10
  • CWE 上位 25 ソフトウェア エラーの特定の問題
  • Web アプリにクラウドを統合する
  • アプリの言語設定
  • インフラストラクチャ構成とセキュリティ管理
  • 認証メカニズム
  • HTTPヘッダー
  • ビジネスロジックの欠陥
  • XSS、CSRF、SQL インジェクションなどのコーディング エラー。

Web アプリの概念と JavaScript や HTML などのテクノロジの基本を理解していれば、このコースを受講するのは問題ありません。

クラウドフレア

これは、 Cloudflare によるリスト内の別の記事で、Web アプリケーションのセキュリティについて説明しています。

正確には次のように説明されています。

  • この用語の意味は何かというと、
  • いくつかの典型的な脆弱性、そして
  • Web セキュリティの脆弱性を防ぐためのベスト プラクティス

この記事を読んで、Web アプリケーション セキュリティ プログラムに登録するときに非常に役立ついくつかの基本概念を明確にします。

結論

サイバー攻撃が急速に増加しているため、Web アプリケーションのセキュリティを学習することが重要になっています。

ではごきげんよう!

「 Web アプリケーションのセキュリティを学ぶには?」についてわかりやすく解説!絶対に観るべきベスト2動画

Security Study #1 「Webアプリケーションセキュリティ」
https://www.youtube-nocookie.com/watch?v=WMjol9xATSw&pp=ygVIIFdlYiDjgqLjg5fjg6rjgrHjg7zjgrfjg6fjg7Pjga7jgrvjgq3jg6Xjg6rjg4bjgqPjgpLlrabjgbbjgavjga8_JmhsPUpB

最新記事一覧

関連記事一覧