クライアント側の技術については曖昧なまま月日が経ってきました。
代表的なクライアント側の脆弱性はXSSだと思いますが、なぜXSSが脆弱性となり得るかは深く考えられていませんでした。
他にも、SOP、CORSなども関連してきます。
検証する方法は確立してきましたが、「なぜそれらの技術があるか?」はわからないでとりあえず使っている状態でした。
この本を読むことで、理解するとまではいきませんでしたが、何かきっかけを掴むことは出来ました。
感想
タイミング的なものなのか、内容的なものなのかわかりませんが、この本は私にとって良い影響をもたらしました。
クライアント側の歴史です。
都度調べていたクライアント側のセキュリティや機能ですが、断片的な情報しか入ってこなかったので、記憶に残りませんでした。
しかし、この本を読むことで、「クライアント側セキュリティ」に入門することができたような気がします。
具体的には、「XSSがなぜ脅威なのか?」を経緯から知ることができました。
今まで理論で固めていたところに、歴史や感情も入ることで、納得感が強くなりました。
あまりに面白かったので、職場の方に歴史を語ってしまいました。
その方は、私が教育を担当していた未経験の方だったんですが、「今まで聞いた話の中でダントツで面白かった」と評価をいただきました。
これまで話してきたことはなんだったんだ・・・
比較的わかりやすく面白かったこの本ですが、知識0の初心者の方が見て参考になるかと言えば微妙かと思います。
知識0の方でも、クライアント側に興味があればよいのだと思いますが、それ以外の方は微妙です。
実際に手を動かして、考えるようになってからで良いと思います。
一番印象に残ったところ
ブラウザのセキュリティ機構とXSSのところです。
1~2章あたりですかね。
正直なところ、全部を読んで理解したわけではなくて、1~2章と少し読んでテンション上がってという感じです。
それ以外はまた今度読みます。
機能的に言うと、SOPのあたりです。
これまでは「よくわからんがこういう機能があるんだなぁ」って思っていましたが、SOPがある目的から記載されていたので、すごくわかりやすかったです。
わかりやすいというか、順を追って書いてあるので、物語のように楽しめました。
だいたい説明された後にXSSの説明が来るのがさらに面白かったです。
ここを読んだ時は、「XSSはみんなの努力を無にするやばいやつだ!」と思いました。
さながらダークファンタジーのように、平和な村が蹂躙されたような感覚を覚えました。
XSSといえば、バグバウンティでも検出数が多い脆弱性ですよね?
ある程度Webセキュリティをやっていれば、はいはいXSSねと飽きてしまうこともあると思います。
ですが、その正体はブラウザセキュリティの努力を消し飛ばす脅威!
努力を消し飛ばすようなものは、なんとしてでも根絶せなばならんのです。
まとめ
XSSなどクライアント側のセキュリティ関連の概要がわかってきたころに読むといい感じに知識の補完がされる本でした。
半分以上は読めていないので、全部を理解しようとすると、猛烈にクライアント側セキュリティや技術に興味ある方ぐらいしか読めない気はします。
ですが、断片的に読んでも得られるものは多かったです。
コメント
こんにちは。
NickさんはWebアプリの脆弱性診断をかなりこなしているイメージなのですが、プラットフォーム(OS、ミドルウェア)の診断も経験ありですか?
こんにちは!
プラットフォームはそこまでやってないですね