【電子版】OAuth・OIDCへの攻撃と対策を整理して理解できる本(リダイレクトへの攻撃編

【電子版】OAuth・OIDCへの攻撃と対策を整理して理解できる本(リダイレクトへの攻撃編

  • Digital
    1,000 JPY

Auth屋の本の評判: https://togetter.com/li/1477483 本書の書評: https://dev.classmethod.jp/articles/tech-book-oauth-oidc-redirect/ ================= ■ はじめに 本書は Auth 屋の「雰囲気 OAuth シリーズ」第三弾であり、OAuth と OpenID Connect への攻撃と対策についての本です。攻撃全般ではなく、攻撃対象として一番狙われる「リダイレクト 部分への攻撃」に特化した内容になっています。リダイレクト部分への攻撃の仕組 みと、state、nonce をはじめとした対策についての仕組みを理解すれば、雰囲気 OAuther を脱したと言えるでしょう。 ■ 想定読者 • OAuth・OIDC について用語、概念、仕組みはだいたい理解してる(Auth 屋 の前著は読んだ!) • state、nonce、PKCE、c_hash、at_hashは聞いたことはある。理解はして ない。 • クライアント、リライング・パーティとしてアプリを作るかもしれない もし OAuth・OIDC についての理解があやしいようであれば、ぜひ、以下の前著も合わせてお読みください。 • OAuth本 [ https://booth.pm/ja/items/1296585 ] • OpenID Connect本 [ https://booth.pm/ja/items/1550861 ] ■ 本書の狙い 本書の狙いは、読者がこの本を読み終わった後「下記の攻撃を防ぐためにクライア ント、リライング・パーティとしてなすべきこと」を理解できていることです。 - 攻撃 • クロスサイトリクエストフォージェリ • リプレイ攻撃 • 認可コード横取り攻撃 • コードインジェクション • トークンインジェクション - 対策 • state • nonce • PKCE • c_hash • at_hash ■ 本書の特徴 • OAuth・OIDC の各フローのやり取りを一つずつ追いながら解説することで、 容易に攻撃と対策の仕組みがわかる • 攻撃と対策をビジュアルで理解できる • 本文 100 ページ程度なので 1 日で読める

About shipping
Shipped from warehouse

These products are shipped from BOOTH warehouse as soon as payment is confirmed.

Shipped from home

These products are packed and shipped from the seller. "Ships within ~ days" are the estimated number of days from when payment is confirmed at BOOTH until the item is shipped.
Items shipped by Anshin-BOOTH-Pack will be delivered anonymously.

Download item

You will be able to download these products from "Purchase History" at any time after payment is confirmed.

Shipped from pixivFACTORY

These products are manufactured and shipped by pixivFACTORY as soon as payment is confirmed.

Auth屋の本の評判: https://togetter.com/li/1477483 本書の書評: https://dev.classmethod.jp/articles/tech-book-oauth-oidc-redirect/ ================= ■ はじめに 本書は Auth 屋の「雰囲気 OAuth シリーズ」第三弾であり、OAuth と OpenID Connect への攻撃と対策についての本です。攻撃全般ではなく、攻撃対象として一番狙われる「リダイレクト 部分への攻撃」に特化した内容になっています。リダイレクト部分への攻撃の仕組 みと、state、nonce をはじめとした対策についての仕組みを理解すれば、雰囲気 OAuther を脱したと言えるでしょう。 ■ 想定読者 • OAuth・OIDC について用語、概念、仕組みはだいたい理解してる(Auth 屋 の前著は読んだ!) • state、nonce、PKCE、c_hash、at_hashは聞いたことはある。理解はして ない。 • クライアント、リライング・パーティとしてアプリを作るかもしれない もし OAuth・OIDC についての理解があやしいようであれば、ぜひ、以下の前著も合わせてお読みください。 • OAuth本 [ https://booth.pm/ja/items/1296585 ] • OpenID Connect本 [ https://booth.pm/ja/items/1550861 ] ■ 本書の狙い 本書の狙いは、読者がこの本を読み終わった後「下記の攻撃を防ぐためにクライア ント、リライング・パーティとしてなすべきこと」を理解できていることです。 - 攻撃 • クロスサイトリクエストフォージェリ • リプレイ攻撃 • 認可コード横取り攻撃 • コードインジェクション • トークンインジェクション - 対策 • state • nonce • PKCE • c_hash • at_hash ■ 本書の特徴 • OAuth・OIDC の各フローのやり取りを一つずつ追いながら解説することで、 容易に攻撃と対策の仕組みがわかる • 攻撃と対策をビジュアルで理解できる • 本文 100 ページ程度なので 1 日で読める