• Jakie ataki Ci grożą?
• Jak zapewnić bezpieczeÅ„stwo Twojej aplikacji WWW?
• Jak testować aplikacjÄ™ AJAX?

Technologia AJAX zdobyła rynek aplikacji internetowych - to fakt. Siła i szybkość, z jaką tego dokonała, robią wrażenie. Niestety, wysoka wydajność w zdobywaniu rynku odbiła się negatywnie na jakości kodu i jego odporności na ataki. Oczywiście wiele rozwiązań spełnia najwyższe standardy jakości i bezpieczeństwa, ale istnieje jeszcze wiele serwisów, które powinny o to zadbać.

Jeżeli zastanawiasz się, czy Twój serwis korzystający z AJAX jest odpowiednio zabezpieczony, ta książka odpowie na to pytanie! Mało tego, dzięki "Bezpieczeństwo aplikacji tworzonych w technologii Ajax" dowiesz się, jak optymalnie zabezpieczyć Twoją aplikację, a także poznasz rodzaje ataków, na które ta aplikacja może być narażona. Poznasz także charakterystykę zagrożeń oraz nauczysz się efektywnie wykorzystywać mechanizm SSL (skrót od ang. Secure Sockets Layer). Po lekturze tego podręcznika będziesz w stanie poznać typowe błędy popełniane przez programistów. Zrozumiesz, w jaki sposób ktoś może wykonać atak na warstwę prezentacji oraz dane zgromadzone w przeglądarce. Ponadto nauczysz się testować aplikacje AJAX. Autorzy książki przedstawią również wady i zalety popularnych szkieletów aplikacji AJAX.

• Podstawy technologii AJAX
• Asynchroniczność
• Rodzaje ataków
• Wykorzystanie SSL
• Walidacja przyjmowanych danych
• Skomplikowanie kodu a bezpieczeÅ„stwo
• Typowe bÅ‚Ä™dy programistów
• Przechwytywanie danych po stronie klienta
• BezpieczeÅ„stwo w Google Gears oraz Dojo.Offline
• Zagrożenia zwiÄ…zane z warstwÄ… prezentacji
• Testowanie aplikacji AJAX
• Zalety i wady dostÄ™pnych szkieletów aplikacji AJAX

Osoby które kupowały "Bezpieczeństwo aplikacji tworzonych w technologii Ajax", wybierały także:

• ASP.NET MVC. Kompletny przewodnik dla programistów interaktywnych aplikacji internetowych w Visual Studio 86,77 zÅ‚, (26,90 zÅ‚ -69%)
• Ajax. Implementacje 49,00 zÅ‚, (26,95 zÅ‚ -45%)
• Ajax. Od podstaw 75,63 zÅ‚, (42,35 zÅ‚ -44%)
• Ajax. Bezpieczne aplikacje internetowe 36,34 zÅ‚, (20,35 zÅ‚ -44%)
• 80 sposobów na Ajax 53,93 zÅ‚, (30,20 zÅ‚ -44%)

Spis treści

Bezpieczeństwo aplikacji tworzonych w technologii Ajax -- spis treści

Przedmowa (15)

Przedmowa (ta rzeczywista) (17)

Podziękowania (21)

O autorach (23)

Rozdział 1. Wprowadzenie do bezpieczeństwa technologii Ajax (25)

• Elementarz technologii Ajax (26)
  
  • Czym jest Ajax? (26)
  • Asynchroniczny (28)
  • JavaScript (30)
  • XML (34)
  • Dynamiczny HTML (DHTML) (35)
• Przechodzenie na architekturÄ™ Ajax (35)
  
  • Architektura grubego klienta (36)
  • Architektura cienkiego klienta (37)
  • Ajax: zÅ‚otowÅ‚osa architektura (39)
  • Architektura grubego klienta z punktu widzenia bezpieczeÅ„stwa (40)
  • Architektura cienkiego klienta z punktu widzenia bezpieczeÅ„stwa (41)
  • Aplikacje Ajax z punktu widzenia bezpieczeÅ„stwa (42)
• Burza luk bezpieczeÅ„stwa (43)
  
  • ZwiÄ™kszony poziom zÅ‚ożonoÅ›ci, przejrzystoÅ›ci i wielkoÅ›ci (43)
  • Kwestie socjologiczne (46)
  • Aplikacja Ajax: cel atrakcyjny i strategiczny (47)
• Podsumowanie (48)

Rozdział 2. Włamanie (49)

• Ewa (49)
  
• Atak na witrynÄ™ HighTechVacations.net (50)
  
  • ZÅ‚amanie systemu kuponowego (50)
  • Atak na doÅ‚Ä…czanie danych po stronie klienta (56)
  • Atak na API Ajax (61)
• Kradzież w jednÄ… noc (66)

Rozdział 3. Ataki sieciowe (69)

• Podstawowe kategorie ataków (69)
  
  • Wyliczanie zasobów (70)
  • Manipulacje parametrami (74)
• Inne rodzaje ataków (98)
  
  • Cross-Site Request Forgery (CSRF) (98)
  • Phishing (99)
  • Denial of Service (DoS) (100)
• Ochrona aplikacji sieciowej przed atakiem wyliczania zasobów lub manipulacji parametrami (101)
  
  • Secure Sockets Layer (102)
• Podsumowanie (102)

Rozdział 4. Sposoby ataków na Ajax (105)

• Zrozumienie sposobów ataków na aplikacje Ajaksa (105)
  
• Sposoby ataków na tradycyjne aplikacje sieciowe (107)
  
  • Pola danych wejÅ›ciowych formularzy sieciowych (107)
  • Mechanizm cookies (109)
  • Nagłówki (110)
  • Ukryte pola formularza sieciowego (110)
  • Parametry ciÄ…gu tekstowego zapytania (111)
  • Pliki przekazywane na serwer (114)
• Ataki na tradycyjne aplikacje sieciowe: ogólna ocena (115)
  
• Rodzaje ataków sieciowych (116)
  
  • Metody usÅ‚ugi sieciowej (117)
  • Definicje usÅ‚ugi sieciowej (118)
• Ataki na aplikacje Ajaksa (119)
  
  • ŹródÅ‚a ataków na aplikacje Ajaksa (120)
  • Najlepsze z poÅ‚Ä…czenia obu Å›wiatów - z punktu widzenia hakera (122)
• PrawidÅ‚owa weryfikacja danych wejÅ›ciowych (123)
  
  • Problem z czarnÄ… listÄ… oraz innymi okreÅ›lonymi poprawkami (124)
  • Leczenie objawów zamiast choroby (126)
  • Weryfikacja danych wejÅ›ciowych na podstawie biaÅ‚ej listy (129)
  • Wyrażenia regularne (133)
  • Dodatkowe przemyÅ›lenia dotyczÄ…ce weryfikacji danych wejÅ›ciowych (133)
• Weryfikacja rozbudowanych danych wejÅ›ciowych użytkownika (135)
  
  • Weryfikacja kodu znaczników (136)
  • Weryfikacja plików binarnych (138)
  • Weryfikacja kodu źródÅ‚owego JavaScript (138)
  • Weryfikacja serializowanych danych (144)
• Mit dotyczÄ…cy treÅ›ci dostarczanej przez użytkownika (146)
  
• Podsumowanie (147)

Rozdział 5. Złożoność kodu Ajaksa (149)

• Wiele jÄ™zyków i architektur (149)
  
  • Indeksowanie tablicy (150)
  • Operacje na ciÄ…gach tekstowych (152)
  • Komentarze w kodzie (153)
  • Problem innej osoby (154)
• Dziwactwa JavaScript (156)
  
  • Interpretowany, a nie kompilowany (156)
  • SÅ‚aba kontrola typów (157)
• Asynchroniczność (159)
  
  • Problem tak zwanych wyÅ›cigów (159)
  • Zakleszczenia i problem jedzÄ…cych filozofów (163)
  • Synchronizacja po stronie klienta (167)
• Zachowaj ostrożność podczas przyjmowania rad (168)
  
• Podsumowanie (169)

Rozdział 6. Przejrzystość aplikacji Ajaksa (171)

• Czarne pudeÅ‚ka kontra biaÅ‚e pudeÅ‚ka (172)
  
  • PrzykÅ‚ad: witryna MyLocalWeatherForecast.com (174)
  • PrzykÅ‚ad: witryna MyLocalWeatherForecast.com wykonana z użyciem technologii Ajax (176)
  • Podsumowanie porównania (179)
• Aplikacja sieciowa jako API (180)
  
  • Rodzaje danych i sygnatury metod (181)
• Szczególne bÅ‚Ä™dy dotyczÄ…ce bezpieczeÅ„stwa (182)
  
  • NieprawidÅ‚owe uwierzytelnienie (182)
  • Nadmierne rozdrobnienie API serwera (184)
  • Przechowywanie stanu sesji w jÄ™zyku JavaScript (187)
  • Ujawnianie użytkownikom poufnych danych (188)
  • Komentarze i dokumentacja w kodzie dziaÅ‚ajÄ…cym po stronie klienta (190)
  • Transformacja danych wykonywana po stronie klienta (191)
• BezpieczeÅ„stwo poprzez zaciemnianie (195)
  
  • Techniki zaciemniania kodu (196)
• Podsumowanie (198)

Rozdział 7. Przechwytywanie aplikacji Ajaksa (199)

• Przechwycenie struktury Ajaksa (200)
  
  • Przypadkowe nadpisanie funkcji (200)
  • Nadpisywanie funkcji dla rozrywki lub w celu osiÄ…gniÄ™cia korzyÅ›ci (202)
• Przechwytywanie technologii Ajax na żądanie (208)
  
• Przechwytywanie API JSON (213)
  
  • Przechwycenie obiektu (218)
  • Geneza przechwycenia danych JSON (218)
  • Obrona przed atakiem przechwycenia API (219)
• Podsumowanie (222)

Rozdział 8. Ataki na magazyny danych po stronie klienta (223)

• Ogólny opis systemów magazynowania danych po stronie klienta (223)
  
  • Ogólne informacje dotyczÄ…ce bezpieczeÅ„stwa magazynu danych po stronie klienta (225)
• Mechanizm HTTP cookies (226)
  
  • ReguÅ‚y kontroli dostÄ™pu do cookie (229)
  • Pojemność cookie HTTP (234)
  • Czas życia cookie (237)
  • Dodatkowe informacje w zakresie bezpieczeÅ„stwa cookie (238)
  • Podsumowanie rozważaÅ„ dotyczÄ…cych używania cookie jako magazynu danych (239)
• Obiekty Flash Local Shared Objects (240)
  
  • Podsumowanie informacji o obiektach Local Shared Object (248)
• Magazyn danych DOM (249)
  
  • Magazyn danych sesji (250)
  • Globalny magazyn danych (252)
  • Diabelskie szczegóły dotyczÄ…ce magazynu danych DOM (254)
  • BezpieczeÅ„stwo magazynu danych DOM (256)
  • Podsumowanie informacji dotyczÄ…cych magazynu danych DOM (257)
• Magazyn userData w przeglÄ…darce Internet Explorer (258)
  
  • Podsumowanie dotyczÄ…ce bezpieczeÅ„stwa (263)
• Ogólne informacje o atakach i obronie magazynów danych po stronie klienta (264)
  
  • Ataki typu cross-domain (264)
  • Ataki cross-directory (265)
  • Ataki cross-port (266)
• Podsumowanie (267)

Rozdział 9. Ajaksowe aplikacje offline (269)

• Ajaksowe aplikacje offline (269)
  
• Google Gears (271)
  
  • Rodzime funkcje bezpieczeÅ„stwa i niedociÄ…gniÄ™cia Google Gears (272)
  • Luki bezpieczeÅ„stwa w komponencie WorkerPool (276)
  • Ujawnienie danych LocalServer i skażenie danych (277)
  • BezpoÅ›redni dostÄ™p do bazy danych Google Gears (281)
  • Ataki typu SQL Injection i struktura Google Gears (282)
  • Jak niebezpieczny jest atak SQL Injection po stronie klienta? (287)
• Dojo.Offline (289)
  
  • Bezpieczne przechowywanie klucza (290)
  • Zapewnienie bezpieczeÅ„stwa danych (291)
  • Dobre hasÅ‚a dla dobrych kluczy (292)
• Weryfikacja danych wejÅ›ciowych po stronie klienta staÅ‚a siÄ™ istotna (293)
  
• Inne podejÅ›cia do aplikacji offline (294)
  
• Podsumowanie (295)

Rozdział 10. Kwestie związane z pochodzeniem żądań (297)

• Roboty, pajÄ…ki, przeglÄ…darki internetowe oraz inne koszmary (297)
  
  • "Cześć! Nazywam siÄ™ Firefox. LubiÄ™ programowanie, pliki PDF oraz dÅ‚ugie spacery po plaży" (299)
• Niepewność dotyczÄ…ca źródÅ‚a pochodzenia żądania oraz JavaScript (300)
  
  • Żądania Ajaksa z perspektywy serwera (300)
  • Użytkownik lub ktoÅ› podszywajÄ…cy siÄ™ pod niego (304)
  • WysyÅ‚anie żądaÅ„ HTTP za pomocÄ… JavaScriptu (306)
  • Ataki JavaScript z użyciem żądaÅ„ HTTP w aplikacjach niestosujÄ…cych technologii Ajax (308)
  • Kradzież treÅ›ci za pomocÄ… obiektu XMLHttpRequest (310)
  • PoÅ‚Ä…czenie ataków XSS i XHR w praktyce (315)
• Sposoby obrony (317)
  
• Podsumowanie (319)

Rozdział 11. Aplikacje mashup oraz agregatory (321)

• Dane z Internetu nadajÄ…ce siÄ™ do użycia (322)
  
  • Wczesne lata 90. ubiegÅ‚ego wieku - poczÄ…tek współczesnego Internetu (322)
  • PoÅ‚owa lat 90. XX wieku - narodziny machiny sieciowej (323)
  • XXI wiek - machina sieciowa staÅ‚a siÄ™ dojrzaÅ‚a (324)
  • Publicznie dostÄ™pne usÅ‚ugi sieciowe (325)
• Aplikacja mashup: frankenstein Internetu (327)
  
  • ChicagoCrime.org (328)
  • HousingMaps.com (329)
  • Inne aplikacje typu mashup (330)
• Budowanie aplikacji mashup (331)
  
  • Aplikacje mashup i Ajax (332)
• Pomost, proxy, brama - och nie! (334)
  
  • Alternatywy dla proxy Ajax (335)
• Ataki na proxy Ajax (336)
  
  • Halo, HousingMaps.com? (338)
• Weryfikacja danych wejÅ›ciowych w aplikacji mashup (341)
  
• Witryny agregujÄ…ce (343)
  
• Zdegradowane bezpieczeÅ„stwo i zaufanie (351)
  
• Podsumowanie (354)

Rozdział 12. Ataki na warstwę prezentacji (357)

• Szczypta prezentacji może zabić treść (357)
  
• Ataki na warstwÄ™ prezentacyjnÄ… (361)
  
• Analiza danych w kaskadowych arkuszach stylów (362)
  
• Sztuczki dotyczÄ…ce wyglÄ…du i dziaÅ‚ania (365)
  
  • Zaawansowane sztuczki dotyczÄ…ce wyglÄ…du i dziaÅ‚ania (369)
• Osadzona logika programu (372)
  
• Ataki na kaskadowe arkusze stylów (374)
  
  • Modyfikacja bufora przeglÄ…darki internetowej (376)
• Uniemożliwianie ataków na warstwÄ™ prezentacyjnÄ… (379)
  
• Podsumowanie (381)

Rozdział 13. Robaki JavaScript (383)

• Opis robaków JavaScript (383)
  
  • Tradycyjne wirusy komputerowe (384)
  • Robaki JavaScript (387)
• Konstrukcja robaka JavaScript (389)
  
  • Ograniczenia jÄ™zyka JavaScript (391)
  • Rozprzestrzenianie siÄ™ robaków JavaScript (392)
  • Operacje wykonywane przez robaki JavaScript (392)
  • Podsumowanie części teoretycznej (401)
• Studium przypadku: robak Samy (401)
  
  • Jak dziaÅ‚aÅ‚ robak Samy? (402)
  • DziaÅ‚alność robaka Samy (405)
  • Podsumowanie analizy robaka Samy (407)
• Studium przypadku: robak Yamanner (JS/Yamanner-A) (408)
  
  • W jaki sposób dziaÅ‚aÅ‚ robak Yamanner? (409)
  • DziaÅ‚alność robaka Yamanner (412)
  • Podsumowanie analizy robaka Yamanner (413)
• Lekcje wyciÄ…gniÄ™te po analizie rzeczywistych przykÅ‚adów robaków JavaScript (416)
  
• Podsumowanie (417)

Rozdział 14. Testowanie aplikacji Ajaksa (419)

• Czarna magia (420)
  
• Nie każdy do przeglÄ…dania Internetu używa przeglÄ…darki internetowej (424)
  
  • Paragraf 22 (427)
• NarzÄ™dzia sÅ‚użące do sprawdzania bezpieczeÅ„stwa, czyli dlaczego prawdziwe życie nie przypomina Hollywood? (428)
  
  • Katalogowanie witryny (429)
  • Wykrywanie luk bezpieczeÅ„stwa (431)
  • NarzÄ™dzie analizy: Sprajax (433)
  • NarzÄ™dzie analizy: Paros Proxy (435)
  • NarzÄ™dzie analizy: LAPSE (Lightweight Analysis for Program Security in Eclipse) (437)
  • NarzÄ™dzie analizy: WebInspect(tm) (439)
• Dodatkowe przemyÅ›lenia dotyczÄ…ce testów pod kÄ…tem bezpieczeÅ„stwa (440)

Rozdział 15. Analiza struktur Ajaksa (443)

• ASP.NET (443)
  
  • ASP.NET AJAX (dawniej Atlas) (444)
  • ScriptService (448)
  • Ostateczna rozgrywka bezpieczeÅ„stwa: UpdatePanel kontra ScriptService (449)
  • ASP.NET AJAX i WSDL (450)
  • ValidateRequest (454)
  • ViewStateUserKey (455)
  • Konfiguracja i usuwanie bÅ‚Ä™dów w ASP.NET (456)
• PHP (457)
  
  • Sajax (458)
  • Struktura Sajax i ataki Cross-Site Request Forgery (459)
• Java EE (461)
  
  • Direct Web Remoting (DWR) (461)
• Struktury JavaScript (464)
  
  • Ostrzeżenie dotyczÄ…ce kodu dziaÅ‚ajÄ…cego po stronie klienta (464)
  • Prototype (465)
• Podsumowanie (467)

Dodatek A: Kod źródłowy robaka Samy (469)

Dodatek B: Kod źródłowy robaka Yamanner (477)

Skorowidz (483)