松本 隆則の書籍一覧

セキュリティ業界内でよく知られている2つの脆弱性診断ツール「OWASP ZAP」および「Burp Suite」の外観や機能などを比較しつつ、脆弱性診断の初級者が中級者にステップアップするためのノウハウを、脆弱性診断作業のフローを追いながら解説します。脆弱性診断を進めるために必要な考え方や作業を学びながら、診断ツールの具体的な使い方も覚えられます。とくに、脆弱性診断作業を省力化できる便利な機能「自動診断」については、両ツールとも一から手順を説明しているので、簡単に自動診断を試すことができます。
【目次】
第1章　脆弱性診断
第2章　脆弱性診断フロー
第3章　診断対象確認
第4章　診断対象選定
第5章　診断作業準備
第6章　診断作業実施
第7章　診断結果考察
第8章　診断結果報告
第9章　外観を比較
第10章　目的別診断ツールの選び方

オープンソースの脆弱性診断ツール「OWASP ZAP」とCI/CDツール「GitHub Actions」を使用して脆弱性診断作業を自動化するためのノウハウを集めた書籍です。脆弱性診断の｢内製化｣を進めるきっかけになればと思います。
前半ではJavaで作られたサンプルアプリケーションに対して自動診断を実施する方法を説明しています。前半では最低限の設定で自動診断を実施し、後半ではその設定では診断できないログイン後の画面を診断する方法を解説しています。

【目次】
第1章　Quick Start
第2章　GitHub Actionsのワークフロー
第3章　デフォルト設定による自動診断の問題点
第4章　ちょっと複雑な診断対象アプリのセットアップ
第5章　ワークフローを新規追加
第6章　OWASP ZAPのログイン設定
第7章　GitHub Actionsにコンテキストを登録
第8章　ワークフロー修正
付録A　Java 11 (JDK)のインストール
付録B　OWASP ZAPのセットアップ