Descripción general
Un libro de 272 páginas, compuesto por 20 capítulos y dos apéndices. Al final de cada capítulo hay una conclusión. El material se presenta principalmente como información textual, hay algunas inserciones de código, pero no muchas. Lo mismo se puede decir sobre las imágenes y tablas. El nivel de dificultad de lectura es fácil, en raras ocasiones medio.
Resumen breve
El libro está estructurado de tal manera que cada capítulo trata sobre alguna vulnerabilidad o vector de ataque. La forma más sencilla de hacer un resumen breve es simplemente listar estos capítulos, es decir, los vectores de ataque. Así que aquí tienes lo que ofrece el autor:
- Capítulo 1. Fundamentos de la búsqueda de vulnerabilidades
- Capítulo 2. Redirección abierta
- Capítulo 3. Contaminación de parámetros HTTP
- Capítulo 4. Falsificación de solicitudes entre sitios
- Capítulo 5. Inyección de elementos HTML y suplantación de contenido
- Capítulo 6. Inyección de caracteres de nueva línea
- Capítulo 7. Scripts entre sitios (XSS)
- Capítulo 8. Inyección de plantillas
- Capítulo 9. Inyección SQL
- Capítulo 10. Falsificación de solicitudes al servidor
- Capítulo 11. Entidades XML externas
- Capítulo 12. Ejecución remota de código
- Capítulo 13. Vulnerabilidades de memoria
- Capítulo 14. Apropiación de subdominios
- Capítulo 15. Condiciones de carrera
- Capítulo 16. Referencias directas a objetos inseguras
- Capítulo 17. Vulnerabilidades en OAuth
- Capítulo 18. Vulnerabilidades en la lógica y configuración de aplicaciones
- Capítulo 19. Búsqueda independiente de vulnerabilidades
- Capítulo 20. Informes de vulnerabilidades
Opinión
Hasta ahora, este es el mejor libro sobre seguridad de aplicaciones web. El autor revela al menos 17 posibles tipos de ataques a sitios web y aplicaciones web, y en consecuencia, métodos para defenderse de estos ataques. Un libro bien estructurado, detallado que claramente merece una alta calificación. Después de leer el libro, la mayor parte de él sirvió como material con el que hablé en el trabajo ante todos los empleados de mi empresa sobre el tema de la seguridad informática.
Este artículo es estrictamente una reseña del libro y no tiene carácter de recomendación. Las herramientas y métodos descritos en el libro se proporcionan únicamente con fines informativos; esto no es una llamada a la acción por mi parte. Además, algunas tecnologías o prácticas pueden estar restringidas, bloqueadas o prohibidas en determinados países, y su uso lo evalúa cada lector de forma independiente, teniendo en cuenta la legislación local y la responsabilidad personal.
