Общее описание
Книга объёмом около 250 страниц, состоит из 10 глав. В ней присутствует немало вставок с кодом и изображений. Уровень сложности чтения — лёгкий/средний.
Краткое описание
Кратко рассмотрим главы книги.
Глава 1. Основы безопасности.
Бегло рассмотрены основы безопасности — от социальной инженерии до DDoS-атак.
Глава 2. Простые методы взлома.
Описаны примеры построения правильной системы голосования, включая использование капчи.
Глава 3. Взлом PHP-сценариев.
Рассматриваются способы взлома PHP при приёме и обработке параметров адресной строки на сервере. Также разобраны некоторые другие методы.
Глава 4. Работа с системными командами.
Рассказано про вызовы системных команд. Кроме того, затронута тема работы с файлами (например, загрузка на сервер).
Глава 5. SQL-инъекция (PHP + MySQL).
Рассмотрены уязвимости в адресной строке браузера и формах, которые плохо фильтруются и обрабатываются.
Глава 6. SQL-инъекция (.NET + MS SQL Server).
Фактически то же самое, но применительно к C#.
Глава 7. CSRF, или XSRF-уязвимость.
Название говорит само за себя: рассмотрены межсайтовые атаки и способы защиты от них.
Глава 8. DoS-атака на веб-сайт.
Рассказано о распределённых атаках, направленных на исчерпание ресурсов системы. Разобраны примеры узких мест сайтов и серверов.
Глава 9. Авторизация.
Разобраны различные простые способы авторизации — от куки до сессий. Описаны слабые стороны каждого подхода.
Глава 10. XSS.
Речь идёт о перехвате данных посредством языка JavaScript.
Мнение
К этому моменту я уже успел прочитать с десяток книг по безопасности и способам атаки и защиты веб-серверов и сайтов. С каждой новой книгой новой и полезной информации для меня становится всё меньше и меньше, так как темы одни и те же, часто разобраны поверхностно, а углубляться и делать сложные книги по конкретным аспектам мало кто хочет.
Тем не менее, эта книга периодически подкидывала мне новую информацию, и по итогу прочтения у меня получился конспект на 15 страниц. Это говорит о немалой ценности книги даже для меня.
Если говорить шире, без привязки лично ко мне, то если вы хотите углубиться в тематику информационной безопасности и пока не являетесь экспертом в этой области — эту книгу я однозначно могу рекомендовать к прочтению.
Данный текст является исключительно обзором книги и не носит рекомендательного характера. Описанные в книге инструменты и методы приведены исключительно в информационных целях — это не является призывом к действию с моей стороны. Более того, некоторые технологии или практики могут быть ограничены, заблокированы или незаконны в той или иной стране, и их использование каждый должен оценивать самостоятельно, с учётом местного законодательства и личной ответственности.
