Ловушка для багов. Полевое руководство по веб-хакингу

Александр Шитик
Александр Шитик

Пишу свои посты и книги, делаю обзоры на фильмы и книги. Эксперт в области космологии и астрономии, IT, продуктивности и планирования.

Ловушка для багов. Полевое руководство по веб-хакингу
Питер Яворски
Жанры: Компьютерная безопасность, программирование
Год издания: 2020
Год прочтения: 2021
Моя оценка: Наивысшая
Количество прочтений: 1
Количество страниц: 272
Конспект (страниц): 26
Первоначальный язык издания: Английский
Переводы на другие языки: Русский

Общее описание

Книга размером 272 страницы, состоящая из 20 глав и двух приложений. В конце каждой главы есть заключение. Материал представлен преимущественно текстовой информацией, вставки кода есть, но их немного. То же самое можно сказать и об изображениях и таблицах. Степень сложности чтения — лёгкий, в редких главах — средний.

Краткий обзор

Книга построена таким образом, что каждая глава рассказывает о какой-то уязвимости или векторе атак. И проще всего сделать краткий обзор, просто перечислив эти главы, то есть векторы атак. Итак, вот что предлагает автор:

  • Глава 1. Основы охоты за уязвимостями
  • Глава 2. Open Redirect
  • Глава 3. Засорение HTTP-параметров
  • Глава 4. Межсайтовая подделка запросов
  • Глава 5. Внедрение HTML-элемента и подмена содержимого
  • Глава 6. Внедрение символов перевода строки
  • Глава 7. Межсайтовый скриптинг
  • Глава 8. Внедрение шаблонов
  • Глава 9. Внедрение SQL
  • Глава 10. Подделка серверных запросов
  • Глава 11. Внешние XML-сущности
  • Глава 12. Удалённое выполнение кода
  • Глава 13. Уязвимости памяти
  • Глава 14. Захват поддомена
  • Глава 15. Состояние гонки
  • Глава 16. Небезопасные прямые ссылки на объекты
  • Глава 17. Уязвимости в OAuth
  • Глава 18. Уязвимости в логике и конфигурации приложений
  • Глава 19. Самостоятельный поиск уязвимостей
  • Глава 20. Отчёты об уязвимостях

Мнение

Пока что это лучшая книга по компьютерной безопасности веб-приложений. Автор раскрывает минимум 17 возможных видов атак на сайты и веб-приложения и, соответственно, способов защиты от этих атак. Хорошо структурированная, детальная книга, которая явно заслуживает высокой оценки. После прочтения книги основная её часть послужила материалом, с которым я выступал на работе перед всеми сотрудниками своей компании по тематике компьютерной безопасности.

Данная статья является сугубо обзором на книгу и не носит рекомендательного характера. Описанные в книге инструменты и методы приведены исключительно в информационных целях — это не является призывом к действию с моей стороны. Более того, некоторые технологии или практики могут быть ограничены, заблокированы или незаконны в той или иной стране, и их использование каждый читатель оценивает самостоятельно, с учётом местного законодательства и личной ответственности.

Вверх