体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
徳丸 浩
SBクリエイティブ

実習環境が充実している。半日もあれば構築可能。

VirtualBox上の仮想サーバに攻撃対象と攻撃とのサイトがそれぞれ構成されていて、OWASP ZAPで中継する設定にしたfoxyproxy/firefoxでアクセスし、Webに対する攻撃を詳細に確認することができる。
第1版の時は、Fiddlerで同様のことをしていたのが、設定が各段に易しくなった。

ただし、VirtualBoxはHyper-Vと共存しないので、自宅のメインマシンではこのサーバ環境は使えない。IIS上にVirtualBox上のWebサーバと同様の環境を構築して使うことになる。それでもOWASP ZAP、foxyproxy/firefoxの使い方が分かったので便利になった。

安全なWebアプリケーションの作り方 第2版