Descrição geral
O livro tem aproximadamente 250 páginas e é composto por 10 capítulos. Contém vários trechos de código e imagens. O nível de dificuldade de leitura é leve/médio.
Descrição breve
Vamos analisar brevemente os capítulos do livro.
Capítulo 1. Fundamentos da segurança.
Os fundamentos da segurança são abordados de forma resumida — desde engenharia social até ataques DDoS.
Capítulo 2. Métodos simples de hacking.
São descritos exemplos de construção de um sistema de votação correto, incluindo o uso de captcha.
Capítulo 3. Invasão de scripts PHP.
São analisados meios de explorar PHP na recepção e processamento de parâmetros da URL no servidor. Outros métodos são tratados também.
Capítulo 4. Trabalho com comandos do sistema.
São explicados os chamados de comandos do sistema. O tema do tratamento de arquivos (por exemplo, upload ao servidor) também é abordado.
Capítulo 5. Injeção SQL (PHP + MySQL).
São examinadas vulnerabilidades na barra de endereço do navegador e em formulários que são mal filtrados e processados.
Capítulo 6. Injeção SQL (.NET + MS SQL Server).
O essencial é o mesmo, mas aplicado ao C#.
Capítulo 7. CSRF, ou vulnerabilidade XSRF.
O título já diz tudo: são analisados ataques entre sites e formas de proteção contra eles.
Capítulo 8. Ataque DoS a um site.
São descritos ataques distribuídos que visam esgotar os recursos do sistema. São analisados exemplos de pontos fracos de sites e servidores.
Capítulo 9. Autorização.
São exploradas várias formas simples de autorização — de cookies a sessões — e são descritas as fraquezas de cada abordagem.
Capítulo 10. XSS.
Trata-se da interceptação de dados via JavaScript.
Opinião
Até agora já havia lido uma dúzia de livros sobre segurança e formas de atacar e proteger servidores e sites. À medida que novos livros surgiram, a quantidade de informação útil fresca diminuía, pois os temas eram os mesmos, muitas vezes tratados superficialmente, e poucos desejavam aprofundar e elaborar livros complexos sobre aspectos específicos.
No entanto, este livro me trouxe informações novas periodicamente, e ao final obtive um resumo de 15 páginas. Isso prova o valor do livro, mesmo para mim.
De forma mais ampla, sem limitar apenas à minha experiência, se deseja aprofundar em temas de cibersegurança e ainda não é um especialista, recomendo fortemente a leitura deste livro.
O texto presente é exclusivamente uma revisão do livro e não possui caráter recomendatório. As ferramentas e métodos descritos no livro são apresentados apenas a fins informativos — não se trata de um chamado à ação da minha parte. Ademais, algumas tecnologias ou práticas podem estar restringidas, bloqueadas ou ilegais em determinados países; seu uso deve ser avaliado de forma independente, levando em conta a legislação local e a responsabilidade pessoal.
