基礎の二冊。
【体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践】
https://www.amazon.co.jp/dp/4797393165/
【Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版 上野宣が教える新しい情報漏えいを防ぐ技術】
https://www.amazon.co.jp/gp/product/4798159166/
IPA関連
IPA 独立行政法人 情報処理推進機構:重要なセキュリティ情報一覧
安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構
「安全なウェブサイトの作り方」
別冊:「安全なSQLの呼び出し方」
別冊:「ウェブ健康診断仕様」
IPAテクニカルウォッチ:IPA 独立行政法人 情報処理推進機構
ウェブサイトにおける脆弱性検査手法(ウェブアプリケーション検査編)
脆弱性対策の効果的な進め方(ツール活用編)
ウェブサイト改ざんの脅威と対策
CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント
ウェブサイトにおける脆弱性検査手法の紹介(ソースコード検査編)
Web Application Firewall 読本:IPA 独立行政法人 情報処理推進機構
HTML5 を利用したWeb アプリケーションのセキュリティ問題に関する調査報告書
海外情報セキュリティ関連文書の翻訳・調査研究
セキュリティ関連NIST文書:IPA 独立行政法人 情報処理推進機構
OWASP・CWE関連
OWASP Japan Local Chapter Meetup | OWASP Foundation
OWASP Top 10 - 2017
Pentester Skillmap Project JP - OWASP
脆弱性診断とペネトレーションテストの違い
Japan Vulnerability Notes
日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイト。
CWE - CWE-1026: Weaknesses in OWASP Top Ten (2017) (4.3)
OWASP Top Ten (2017) のカテゴリー毎に脆弱性を閲覧できる
Positive Technologies analytics
ソフトウェアセキュリティエラーを脆弱性カテゴリごとにまとめた分類
https://www.exploit-db.com/
エクスプロイトと概念実証(PoC : Proof of Concepts)のデータベース
https://www.vulnerability-lab.com/
ブログなど
Izumino.jp セキュリティ・トレンド2
セキュリティ関連のニュースやブログまとめ
葉っぱ日記
株式会社セキュアスカイ・テクノロジーCTOの長谷川陽介さんのブログ
セキュリティ、個人情報の最新ニュース:Security NEXT
Security Magazine | The business magazine for security executives
https://www.vulnerability-db.com/
https://latesthackingnews.com/
AWS関連
「AWSでのセキュリティ対策全部盛り[初級から中級まで]」をDevelopers.IO 2019 TOKYOで発表しました #cmdevio | DevelopersIO
Amazon Linux Security Advisories
その他
Shodan
インターネットに接続されている様々な種類のコンピューターを見つけることができる検索エンジン
https://censys.io/
Shodanと同様にインターネット全体を日々スキャンして全ての脆弱なデバイスを探し出す
新たなハッカー向け検索エンジン「Censys」登場 ネット接続された機器をリスト化 - THE ZERO/ONE
ウェブサイト調査
What's that site running? | Netcraft
ウェブサイト調査 2
aguse.jp: ウェブ調査
英語参考文献(Udemy)
https://www.udemy.com/course/web-xmpt/learn/lecture/8343132
CTF関連
【2019年】CTF Web問題の攻撃手法まとめ (Web問題のwriteupぜんぶ読む) - こんとろーるしーこんとろーるぶい
【2018年】CTF Web問題のwriteupぜんぶ読む - こんとろーるしーこんとろーるぶい
Bug Bounty 関連
BugBounty.jp - バグバウンティ・プラットフォーム
HackerOne | Hacker-Powered Security, Bug Bounties, & Pentests
脆弱性練習サイト
FindingBugs
テスターちゃん【4コマ漫画】 の作者まつさんによるバグ発見練習サイト
https://github.com/webpwnized/mutillidae
Mutillidae OWASP TOP10 脆弱性を実装した、PHP/MySQLベースのWebアプリ
OWASP WebGoat - Learn the hack - Stop the attack
OWASP Web Testing Environment デスクトップ環境とツールとターゲットが実装されたAll In One トレーニング環境。
OWASP SamuraiWTF 同じく All In One トレーニング環境
Web Security Dojo download | SourceForge.net 同じく All In One トレーニング環境
PentesterLab: Learn Web App Pentesting!
YouTube
The Cyber Mentor - YouTube
I'm a hacker by trade, but this channel will contain various lessons and even off-topic stuff from time to time.
Emad Shanab - YouTube
Ethical Hacking and My POCs
Burp Bounty - YouTube
BurpSuite の拡張機能 Burp Bounty の使い方
セキュリティコミュニティ・フォーラム
Penetration Testing • Information Security
チートシート
https://blog.compass-security.com/2019/10/hacking-tools-cheat-sheet/
SQL インジェクション対策に関するチートシート - OWASP
SQL Injection Cheat Sheet | Netsparker
Cross-Site Scripting (XSS) Cheat Sheet - 2021 Edition | Web Security Academy
XSS (Cross Site Scripting) Cheatsheet: Esp: for filter evasion - by RSnake
http://nootropic.me/blog/blog/2015/02/16/%e8%89%b2%e3%82%93%e3%81%aaxss/
https://portswigger.net/web-security/cross-site-scripting/cheat-sheet
https://hashkiller.co.uk/Cracker/MD5
MD5Hash値の解析サイト
企業ページ
Securelist | Kaspersky’s cyberthreat research and reports
Security | TechBeacon
Micro Focus : イギリス・バークシャー州・ニューベリーに拠点を置く、COBOL言語の開発ツールを中心としたソフトウェア会社のセキュリティブログ
Software Security | Protect your Software at the Source | Fortify
Fortify:カリフォルニアに本拠を置くソフトウェアセキュリティベンダー。静的解析ソフトで有名(静的解析:ソースコードを解析することで脆弱性を検出する)
https://www.cybereason.co.jp/blog/
Cybereason:ボストンに本社を置くサイバーセキュリティ会社。イスラエルの情報収集部門である8200部隊でサイバーセキュリティに携わった3名の共同創立者が2012年に設立。エンドポイントのログを収集し、侵入したマルウェアのサイバー攻撃の兆候をリアルタイムに検知する。
Fortinet | Enterprise Security Without Compromise
Fortinet:統合脅威管理製品(UTM)の開発、製造メーカーの世界最大手。FortiGateシリーズ
公官庁など
https://www.nisc.go.jp/
内閣サイバーセキュリティセンター
https://www.fisc.or.jp/
金融情報システムに関連する諸問題(技術、利活用、管理態勢、脅威と防衛策等)の国内外における現状、課題、将来への発展性とそのための方策等についての調査研究
