Allgemeine Beschreibung
Ein Buch mit 272 Seiten, bestehend aus 20 Kapiteln und zwei Anhängen. Am Ende jedes Kapitels gibt es eine Zusammenfassung. Das Material wird hauptsächlich als Textinformation dargestellt, es gibt Code-Beispiele, aber nur wenige. Dasselbe gilt für Bilder und Tabellen. Die Leseschwierigkeit ist leicht, in seltenen Kapiteln mittel.
Kurzer Überblick
Das Buch ist so aufgebaut, dass jedes Kapitel über eine bestimmte Schwachstelle oder Angriffsvektor spricht. Die einfachste Möglichkeit für einen kurzen Überblick ist, diese Kapitel also die Angriffsvektoren einfach aufzulisten. Also hier, was der Autor anbietet:
- Kapitel 1. Grundlagen der Schwachstellensuche
- Kapitel 2. Offene Umleitung
- Kapitel 3. HTTP-Parameter-Verschmutzung
- Kapitel 4. Cross-Site Request Forgery
- Kapitel 5. HTML-Element-Injection und Content-Spoofing
- Kapitel 6. Zeilenumbruch-Injection
- Kapitel 7. Cross-Site Scripting
- Kapitel 8. Template-Injection
- Kapitel 9. SQL-Injection
- Kapitel 10. Server Request Forgery
- Kapitel 11. Externe XML-Entitäten
- Kapitel 12. Remote Code Execution
- Kapitel 13. Speicherschwachstellen
- Kapitel 14. Subdomain-Übernahme
- Kapitel 15. Race Conditions
- Kapitel 16. Unsichere direkte Objektreferenzen
- Kapitel 17. Schwachstellen in OAuth
- Kapitel 18. Schwachstellen in Logik und Konfiguration von Anwendungen
- Kapitel 19. Unabhängige Schwachstellenerkennung
- Kapitel 20. Schwachstellenberichte
Meinung
Bisher ist dies das beste Buch über Webanwendungs-Sicherheit. Der Autor deckt mindestens 17 mögliche Angriffsarten auf Websites und Webanwendungen auf und entsprechend Schutzmethoden dagegen. Ein gut strukturiertes, detailliertes Buch, das zweifellos eine hohe Bewertung verdient. Nach dem Lesen des Buches diente der Großteil davon als Material, mit dem ich vor allen Mitarbeitern meines Unternehmens über das Thema IT-Sicherheit referiert habe.
Dieser Artikel ist streng eine Buchbesprechung und hat keine Empfehlungscharakter. Die im Buch beschriebenen Tools und Methoden sind ausschließlich zu Informationszwecken angegeben - das stellt keine Handlungsaufforderung meinerseits dar. Darüber hinaus können bestimmte Technologien oder Praktiken in bestimmten Ländern eingeschränkt, blockiert oder illegal sein, und ihre Nutzung bewertet jeder Leser eigenverantwortlich unter Berücksichtigung der lokalen Gesetze und der persönlichen Verantwortung.
