これからWebセキュリティを学習される方には、Webアプリケーションセキュリティの第一人者である徳丸 浩 氏が書かれた書籍「体系的に学ぶ 安全なWebアプリケーションの作り方 (通称:徳丸本) 」をオススメしています。※2018年に第2版が発売になっております。
Webセキュリティ界隈で教科書として広く認知されており、Webアプリケーションエンジニアは必携と紹介する声も多い書籍です。
この本はタイトル通りWebアプリケーションエンジニア向けに書かれており、脆弱性が発生する原理から対策方法まで丁寧に解説されています。PHPがメインに解説されておりますが、脆弱性診断の発生原理は言語に依存しない部分も多いため、どの言語のエンジニアにも入門書としてオススメします。
著者の徳丸氏が発売時のエントリーでも述べられている通り、セキュリティの専門家のみが使う用語は極力避けられているため、開発者にとって非常に読み易いです。
ネットなどで「入門的な本なのに専門用語だらけで分かりにくい」という批判を目にすることがあります。これはもっともな意見ですが、しかしセキュリティの説明を専門用語を使わないで説明することも難しいと考えました。そこで、セキュリティの専門家のみが使う用語はできるだけ避け、開発者が知っておくべき用語は遠慮なく使うという方針を採用することにしました。
セキュリティ用語は、原理を知らなかったりすると意味を連想しづらいものも多いですが、知らない用語が出る度に調べたりしていると本題に集中出来ません。これらの用語が少ない事でサクサク読み進めやすい構成になっていると思います。また、本書では攻撃の方法まで具体的に記載されており、付属の仮想環境で実際に試すことが可能です。やはり脆弱性の原理だけを説明されてもイメージが掴みづらいですし、実際に手を動かすと理解が深まります。