日経BP書店
日経BPの雑誌へ
キーワードで雑誌の掲載号を検索
検索のヒント
日経BPの書籍へ
キーワードで書籍を検索
検索のヒント
年間購読雑誌の送付先変更はこちら
日経BPの雑誌の年間購読・バックナンバー書籍の購入が簡単にできます。 日経BP書店の利用案内 | その他のサービス |
日経BPの書籍 目次など詳細
|  オススメ  |  新刊一覧  |  ジャンル一覧  |  50音順一覧  |  ロングセラー  |  日経BP書店トップ

「Writing Secure Code 第2版 下」の目次



第 3 部	さらにセキュアなコーディングテクニック

第 15 章	ソケットのセキュリティ
	15.1	サーバーの乗っ取りの回避
	15.2	TCPのウィンドウを用いた攻撃
	15.3	サーバーのインターフェイスの選択
	15.4	接続の受け付け
	15.5	ファイアウォールと相性のよいアプリケーション
	15.6	なりすまし、ホストベースおよびポートベースの信頼
	15.7	IPv6の新機能
	15.8	まとめ

第 16 章	RPC、ActiveXコントロール、DCOMのセキュリティ
	16.1	RPC入門
	16.2	セキュアなRPCのためのベストプラクティス
	16.3	セキュアなDCOMのためのベストプラクティス
	16.4	ActiveX入門
	16.5	セキュアなActiveXコントロールのためのベストプラクティス
	16.6	まとめ

第 17 章	DoS攻撃への対処
	17.1	アプリケーションの欠陥への攻撃
	17.2	CPU過負荷攻撃
	17.3	メモリ過負荷攻撃
	17.4	リソース過負荷攻撃
	17.5	ネットワーク帯域幅攻撃
	17.6	まとめ

第 18 章	.NETのセキュアなコーディング
	18.1	コードアクセスセキュリティ:図による説明
	18.2	FxCop:「必須」ツール
	18.3	アセンブリの厳密名
	18.4	アセンブリアクセス許可要求の指定
	18.5	Assertの過度な使用
	18.6	DemandおよびAssertに対する注意
	18.7	アサートの効果は短期間にとどめる
	18.8	DemandとLinkDemand
	18.9	SuppressUnmanagedCodeSecurityAttributeを注意して使用する
	18.10	要求のリモート処理
	18.11	プログラムの利用者を制限する
	18.12	XMLファイルまたは構成ファイルに機密データを保存してはならない
	18.13	部分信頼を認めるアセンブリのレビュー
	18.14	アンマネージコードに対してマネージラッパーの正当性を確認する
	18.15	デリゲートに関する問題
	18.16	シリアル化に関する問題
	18.17	分離ストレージの役割
	18.18	ASP.NETアプリケーションを配置する前にトレース/デバッグ機能を無効にする
	18.19	詳細なエラー情報をリモートに発行しない
	18.20	信頼されないソースからのデータの逆シリアル化
	18.21	失敗時に攻撃者に情報を与えすぎない
	18.22	まとめ

第 4 部	その他のセキュリティトピック

第 19 章	プログラムのセキュリティテスト
	19.1	セキュリティテスト担当者の役割
	19.2	セキュリティテストは他のテストとは異なる
	19.3	脅威モデルに基づくセキュリティテスト計画の作成
	19.4	悪意のあるサーバーを使用したクライアントのテスト
	19.5	ユーザーが機密データを表示または変更できるか
	19.6	セキュリティテンプレートによるテスト
	19.7	バグを発見したら
	19.8	高品質のテストプログラムを使用する
	19.9	エンドツーエンドソリューションのテスト
	19.10	攻撃にさらされる面を判断する
	19.11	まとめ

第 20 章	セキュリティコードレビューの実施
	20.1	大規模アプリケーションへの対処法
	20.2	複数の経路をたどる方法
	20.3	ありがちな問題の検査
	20.4	整数のオーバーフロー
	20.5	戻り値のチェック
	20.6	ポインタを扱うコードの入念な検査
	20.7	データを信用するな
	20.8	まとめ

第 21 章	インストール時のセキュリティ
	21.1	最小限の権限の原則
	21.2	インストール後にデータを残さない
	21.3	セキュリティ構成エディタ
	21.4	低水準のセキュリティAPI
	21.5	Windows Installer
	21.6	まとめ

第 22 章	プライバシーを組み込んだアプリケーションの開発
	22.1	わずらわしいプライバシー侵害と悪質なプライバシー侵害
	22.2	主なプライバシー法の制定
	22.3	プライバシーとセキュリティの狭間
	22.4	プライバシーに対応した体制作り
	22.5	プライバシーに配慮したアプリケーションの設計
	22.6	まとめ

第 23 章	セキュリティのベストプラクティス
	23.1	攻撃者に情報を与えない
	23.2	サービスのベストプラクティス
	23.3	ヘッダー情報による情報漏洩に気を付ける
	23.4	修正時のエラーメッセージ変更に気を付ける
	23.5	エラーパスを再確認する
	23.6	機能を勝手にオンにしない
	23.7	カーネルモードに気を付ける
	23.8	セキュリティのコメントをプログラムに追加する
	23.9	オペレーティングシステムの機能を利用する
	23.10	ユーザーに決定させない
	23.11	CreateProcessをセキュアに呼び出す
	23.12	共有/書きこみ可能セグメントを作成しない
	23.13	偽装関数を正しく使用する
	23.14	\Program Filesにユーザーファイルを書き込まない
	23.15	HKEY_LOCAL_MACHINEにユーザーデータを書き込まない
	23.16	フルコントロールでオブジェクトを開かない
	23.17	オブジェクト作成時の誤りに気を付ける
	23.18	CreateFileに渡す内容に気を付ける
	23.19	一時ファイルのセキュリティを強化する
	23.20	セットアッププログラムでEFSに配慮する
	23.21	ファイルシステムの再解析ポイントを確認する
	23.22	クライアント側にセキュリティを依存しない
	23.23	サンプルはテンプレートである
	23.24	自身の操作から見直す
	23.25	ユーザーに対して責任を持つ
	23.26	管理者SIDに基づいてアクセスを許可しない
	23.27	長いパスワードを許可する
	23.28	_allocaに気を付ける
	23.29	社内の情報をコードに記述しない
	23.30	文字列をリソースDLLに移す
	23.31	アプリケーションのログを記録する
	23.32	C/C++の危険なコードをマネージコードに移行する

第 24 章	セキュリティ関連のドキュメントとエラーメッセージの作成
	24.1	セキュリティ関連のドキュメント
	24.2	セキュリティ関連のエラーメッセージ
	24.3	製品仕様のレビューでの注意点
	24.4	セキュリティユーザビリティ
	24.5	まとめ

第 5 部	付録

付録A	危険なAPI
	A.1	バッファオーバーフローの問題を抱えるAPI
	A.2	名前の乗っ取りに警戒すべきAPI
	A.3	トロイの木馬に警戒すべきAPI
	A.4	Windowsのスタイルとコントロールの種類
	A.5	偽装API
	A.6	DoS攻撃を受けやすいAPI
	A.7	ネットワーク関連のAPI
	A.8	その他の警戒すべきAPI

付録B	よくある言い訳

付録C	設計者のセキュリティチェックリスト

付録D	開発者のセキュリティチェックリスト
	D.1	全般
	D.2	Webおよびデータベース固有
	D.3	RPC
	D.4	ActiveX、COM、およびDCOM
	D.5	暗号および機密データの管理
	D.6	マネージコード

付録E	テスト担当者のセキュリティチェックリスト

参考文献
索引

お問い合わせ | 年間購読規約について | プライバシーポリシー | 日経BP社トップ |
Copyright(C)1995-2003 Nikkei Business Publications., Inc All Rights Reserved.