セキュリティについて勉強した資料

の6日目です.

セキュリティについて勉強したときに読んだモノを紹介したいと思います.

暗号

新版暗号技術入門 秘密の国のアリス

新版暗号技術入門 秘密の国のアリス

暗号の本といえばこれではないでしょうか.暗号学者の道具箱と表現された6種類の技術(対象暗号,公開鍵暗号,一方向ハッシュ関数,メッセージ認証コード,デジタル署名,擬似乱数生成器)を中心に説明されている.自分で実装できるレベルに詳細に書かれているが,丁寧に図解・フローチャートを書いて説明されていて,とてもわかりやすく,「うんうん,なるほど」という感じでどんどん読める.オススメです.

ウェブ

ウェブに関するセキュリティといえばこの本ではないでしょうか.

またこのページでは実際に,XSSCSRFなどを体験できる.

このページには「安全なウェブサイトの作り方」と「安全なSQLの呼び出し方」の2つのPDFが公開されている.

バイナリ

たのしいバイナリの歩き方

たのしいバイナリの歩き方

軽いバイナリの読み方と,バイナリから見たセキュリティについて書かれている.例えば,バッファオーバーラン脆弱性をついて,シュルの制御を奪取するくシェルコードの書き方などが学べる. シェルコードについて解説はここが詳しい.その他のページもいろいろ学びがある.

またこの本は,ツールやその使い方の紹介などが多く.本書を読んでバイナリについて詳しくなれるかといえば,そうでもないと思う.バイナリの世界に入る良いキッカケになると思います.

その他いろいろ

Webアプリケーション、C/C++などにおけるセキュアなプログラミングについて学べる

kusano_kさんによる実際に報告した脆弱性などが書かれています

ハック,クラック,リバースエンジニアリングなどいろいろ書かれています

CTF

CTF(Catcher The Flag)というセキュリティ技術の競技があります.日本では,SECCONというセキュリティコンテストが開催されている.

個人でセキュリティに関する問題をつくって公開してくれているサービスがいくつかあるので紹介します.他にもありましたら,是非教えてください.一度始めると,どんどん時間が吸い取られていきます.

ほかにもGoogleが公開しているXSSについての問題を解くゲームがある.個人的には良い難易度でおもしろかった.