Wyczerpujący przewodnik wprowadzający w arkana tworzenia bezpiecznych aplikacji WWW. Twórca aplikacji WWW nie może sobie pozwolić na to, by jego dzieła były wrażliwe na ataki hakerów.

Zacznij więc myśleć jak haker, a luki w bezpieczeństwie natychmiast się ujawnią. Dzięki tej książce nauczysz się analizować metody stosowane do włamań i ataków na witryny WWW. Będziesz mógł następnie wykorzystać tę wiedzę, by zapobiegać atakom.

1. Powstrzymaj hakera myśląc tak, jak on.
   Poznaj sposoby włamania na Twoją własną witrynę i naucz się zapobiegać różnym rodzajom ataków.
2. Nie bądź maszynką do kodowania.
   Poznaj zasady prowadzące do twórczego pisania aplikacji.
3. Poznaj ryzyko związane z kodem przenośnym.
   Zdobądź wiedzę o tym, w jaki sposób kod przenośny wpływa na bezpieczeństwo po stronie klienta i jak tworzyć bezpieczny kod.
4. Pisz bezpieczne skrypty CGI.
   Poznaj zalety skryptów CGI i opanuj zasady tworzenia bezpiecznych skryptów.
5. Naucz się efektywnie śledzić wykonanie programu.
   Dowiedz się, jak analizować wykonanie programu, by wykryć jego słabe punkty.
6. Zabezpiecz swoje aplikacje.
   Opanuj podstawy PKI i zobacz, jak zastosować je w aplikacjach WWW.
7. Bezpieczne ActiveX.
   Poznaj metodologiÄ™ tworzenia bezpiecznych kontrolek ActiveX.
8. Zabezpiecz swój kod.
   Dowiedz się, jak pisać bezpieczny kod w XML-u, ColdFusion, Javie i innych językach!
9. Pracuj zgodnie z planem bezpieczeństwa.
   Postępuj zgodnie z wytycznymi dotyczącymi analizy kodu i poznaj jego słabe punkty.

• Najlepsze zabezpieczania aplikacji WWW
• Zagadnienia bezpieczeÅ„stwa w projektowaniu
• Ostrzeżenia o niebezpieczeÅ„stwie
• Technologie XML, Java, ColdFusion oraz skrypty CGI.
• Witryny poÅ›wiÄ™cone hakerom
• NarzÄ™dzia i puÅ‚apki
• Pięć faz wÅ‚amania
• Rodzaje ataków hakerskich
• NiezbÄ™dne etapy dziaÅ‚ania przy ocenie ryzyka
• Automatyczne narzÄ™dzia skanujÄ…ce

Osoby które kupowały "Hack Proofing Your Web Applications. Edycja polska ", wybierały także:

• Profesjonalne testy penetracyjne. Zbuduj wÅ‚asne Å›rodowisko do testów 67,42 zÅ‚, (20,90 zÅ‚ -69%)
• Spring Security. Kurs video. Skuteczne metody zabezpieczeÅ„ aplikacji 69,00 zÅ‚, (27,60 zÅ‚ -60%)
• Spring Security. Kurs video. Metody zabezpieczania aplikacji webowych 69,00 zÅ‚, (31,05 zÅ‚ -55%)
• PHP 7.3. Kurs video. Tworzenie bezpiecznej strony typu e-commerce 119,00 zÅ‚, (53,55 zÅ‚ -55%)
• BezpieczeÅ„stwo systemów informatycznych. Zasady i praktyka. Wydanie IV. Tom 2 99,00 zÅ‚, (49,50 zÅ‚ -50%)

Spis treści

Hack Proofing Your Web Applications. Edycja polska -- spis treści

Podziękowania (9)

Współpracownicy (10)

Przedmowa (13)

Rozdział 1. Metodologia włamań (15)

• Wprowadzenie (15)
  
  • Podstawowe terminy (16)
• Krótka historia hackingu (17)
  
  • Hacking sieci telefonicznych (17)
  • Hacking komputerowy (18)
• Co motywuje hakera? (20)
  
  • Hacking etyczny a hacking zÅ‚oÅ›liwy (20)
  • Współpraca ze specjalistami ds. bezpieczeÅ„stwa (21)
• Współczesne rodzaje ataków (22)
  
  • DoS (DDoS) (22)
  • Hacking wirusowy (24)
  • Kradzież (29)
• Zagrożenia bezpieczeÅ„stwa aplikacji WWW (32)
  
  • Ukryta manipulacja (32)
  • Zamiana parametrów (33)
  • ZewnÄ™trzne skrypty (33)
  • PrzepeÅ‚nienie buforów (33)
  • Zatrute cookies (34)
• Zapobieganie wÅ‚amaniom poprzez przyjÄ™cie postawy hakera (34)
  
• Podsumowanie (36)
  
• Skrót rozwiÄ…zaÅ„ (37)
  
• Pytania i odpowiedzi (39)

Rozdział 2. Jak nie zostać "maszynką do kodu"? (41)

• Wprowadzenie (41)
  
• Kim jest "maszynka do kodu"? (42)
  
  • PostÄ™pujÄ…c zgodnie z zasadami (45)
• Twórcze kodowanie (46)
  
  • Zastanawiać siÄ™ (48)
• BezpieczeÅ„stwo z punktu widzenia "maszynki do kodu" (50)
  
  • Programowanie w próżni (51)
• Tworzenie sprawnych i bezpiecznych aplikacji sieciowych (52)
  
  • Przecież mój kod dziaÅ‚a! (56)
• Podsumowanie (61)
  
• Skrót rozwiÄ…zaÅ„ (62)
  
• Pytania i odpowiedzi (63)

Rozdział 3. Ryzyko związane z kodem przenośnym (65)

• Wprowadzenie (65)
  
• DziaÅ‚anie ataków wykorzystujÄ…cych kod przenoÅ›ny (66)
  
  • Ataki z wykorzystaniem przeglÄ…darek (66)
  • Ataki z wykorzystaniem programów pocztowych (67)
  • ZÅ‚oÅ›liwe skrypty lub makra (68)
• Identyfikacja popularnych form kodu przenoÅ›nego (68)
  
  • JÄ™zyki makropoleceÅ„: Visual Basic for Applications (VBA) (69)
  • JavaScript (74)
  • VBScript (77)
  • Aplety w Javie (79)
  • Kontrolki ActiveX (82)
  • ZaÅ‚Ä…czniki listów elektronicznych i pobrane pliki wykonywalne (86)
• Ochrona systemu przez atakami wykorzystujÄ…cymi kod przenoÅ›ny (89)
  
  • Aplikacje bezpieczeÅ„stwa (90)
  • NarzÄ™dzia na stronach WWW (93)
• Podsumowanie (93)
  
• Skrót rozwiÄ…zaÅ„ (95)
  
• Pytania i odpowiedzi (95)

Rozdział 4. Wrażliwe skrypty CGI (97)

• Wprowadzenie (97)
  
• Czym jest i co robi skrypt CGI? (98)
  
  • Typowe zastosowania skryptów CGI (99)
  • Kiedy powinno siÄ™ stosować CGI? (103)
  • Zagadnienia zwiÄ…zane z instalacjÄ… skryptów CGI (104)
• WÅ‚amania umożliwione przez sÅ‚abe skrypty CGI (105)
  
  • Jak pisać bardziej szczelne skrypty CGI? (106)
  • Polecenia katalogów (108)
  • Opakowania skryptów CGI (109)
• JÄ™zyki wykorzystywane do tworzenia skryptów CGI (112)
  
  • PowÅ‚oka systemu Unix (113)
  • Perl (113)
  • C (C++) (114)
  • Visual Basic (114)
• KorzyÅ›ci ze stosowania skryptów CGI (115)
  
• Zasady tworzenia bezpiecznych skryptów CGI (115)
  
  • SkÅ‚adowanie skryptów CGI (118)
• Podsumowanie (120)
  
• Skrót rozwiÄ…zaÅ„ (120)
  
• Pytania i odpowiedzi (123)

Rozdział 5. Techniki i narzędzia włamań (125)

• Wprowadzenie (125)
  
• Cele hakera (126)
  
  • Omijanie alarmów (127)
  • Zdobywanie dostÄ™pu (128)
  • Zniszczenia, zniszczenia, zniszczenia (130)
  • Jak być lepszym od hakera (131)
• Pięć etapów wÅ‚amania (132)
  
  • Tworzenie planu ataku (132)
  • Tworzenie planu przebiegu wÅ‚amania (134)
  • Wybranie punktu wejÅ›cia (135)
  • StaÅ‚y i szeroki dostÄ™p (136)
  • Atak (137)
• Socjotechnika (138)
  
  • Informacje poufne (138)
• Celowo pozostawione tylne wejÅ›cia (143)
  
  • Wprowadzenie do kodu ukrytego hasÅ‚a (143)
• Wykorzystanie sÅ‚abych stron wÅ‚aÅ›ciwych kodowi lub Å›rodowisku programowania (145)
  
• NarzÄ™dzia wykorzystywane przez hakera (145)
  
  • Edytory szesnastkowe (145)
  • Programy uruchomieniowe (147)
  • Deasemblery (148)
• Podsumowanie (150)
  
• Skrót rozwiÄ…zaÅ„ (150)
  
• Pytania i odpowiedzi (153)

Rozdział 6. Kontrola kodu i odwrotna analiza (155)

• Wprowadzenie (155)
  
• Jak efektywnie Å›ledzić dziaÅ‚anie programu (156)
  
• Monitorowanie i kontrola w wybranych jÄ™zykach programowania (158)
  
  • Java (158)
  • Java Server Pages (159)
  • Active Server Pages (159)
  • Server Side Includes (159)
  • Python (159)
  • Tool Command Language (160)
  • Practical Extraction and Reporting Language (160)
  • PHP: Hypertext Preprocessor (160)
  • C (C++) (160)
  • ColdFusion (161)
• Lokalizacja sÅ‚abych punktów (161)
  
  • Pobieranie danych od użytkownika (161)
  • Lokalizacja potencjalnych bÅ‚Ä™dów przepeÅ‚nienia buforów (162)
  • Weryfikacja wyÅ›wietlanych informacji (165)
  • Kontrola operacji na systemie plików (168)
  • Uruchamianie zewnÄ™trznego kodu i programów (170)
  • Zapytania do baz danych SQL (172)
  • Sieci i strumienie komunikacyjne (174)
• Praktyka (175)
  
• Podsumowanie (176)
  
• Skrót rozwiÄ…zaÅ„ (176)
  
• Pytania i odpowiedzi (177)

Rozdział 7. Bezpieczeństwo w języku Java (179)

• Wprowadzenie (179)
  
• Architektura bezpieczeÅ„stwa Javy (180)
  
  • Model bezpieczeÅ„stwa w jÄ™zyku Java (181)
  • Piaskownica (183)
• PodejÅ›cie do problemów bezpieczeÅ„stwa w Javie (187)
  
  • Programy Å‚adujÄ…ce klasy (187)
  • Weryfikator bajt-kodu (190)
  • Chronione domeny Javy (194)
• Potencjalne luki bezpieczeÅ„stwa w Javie (201)
  
  • Ataki DoS (degradacji usÅ‚ug) (202)
  • Konie trojaÅ„skie (204)
• Programowanie funkcjonalnych, ale bezpiecznych apletów w Javie (205)
  
  • Skróty wiadomoÅ›ci (206)
  • Podpisy cyfrowe (208)
  • Uwierzytelnianie (214)
  • Ochrona zabezpieczeÅ„ za pomocÄ… podpisywania plików JAR (220)
  • Szyfrowanie (223)
  • Zalecenia Sun Microsystems odnoÅ›nie bezpieczeÅ„stwa w Javie (227)
• Podsumowanie (230)
  
• Skrót rozwiÄ…zaÅ„ (231)
  
• Pytania i odpowiedzi (232)

Rozdział 8. Bezpieczeństwo w języku XML (235)

• Wprowadzenie (235)
  
• Definicja jÄ™zyka XML (236)
  
  • Struktura logiczna (237)
  • Elementy (237)
  • Dokumenty XML, XSL i DTD (240)
  • Zastosowanie szablonów w jÄ™zyku XSL (240)
  • Zastosowanie wzorów w jÄ™zyku XSL (241)
  • DTD (243)
• Wykorzystanie jÄ™zyka XML do tworzenia aplikacji WWW (245)
  
• Ryzyko zwiÄ…zane z jÄ™zykiem XML (247)
  
  • Problemy tajnoÅ›ci (248)
• BezpieczeÅ„stwo w jÄ™zyku XML (249)
  
  • Specyfikacja XML Encryption (250)
  • Specyfikacja XML Digital Signatures (254)
• Podsumowanie (256)
  
• Skrót rozwiÄ…zaÅ„ (257)
  
• Pytania i odpowiedzi (258)

Rozdział 9. Tworzenie bezpiecznych sieciowych kontrolek ActiveX (259)

• Wprowadzenie (259)
  
• Zagrożenia zwiÄ…zane z technologiÄ… ActiveX (260)
  
  • Unikanie typowych luk bezpieczeÅ„stwa w kontrolkach ActiveX (262)
  • Usuwanie skutków luk w technologii ActiveX (264)
• Metodologia tworzenia bezpiecznych kontrolek ActiveX (267)
  
  • Parametry bezpieczeÅ„stwa obiektu (267)
• Bezpieczne kontrolki ActiveX (268)
  
  • Podpisywanie kontrolek (268)
  • Znakowanie kontrolek (271)
• Podsumowanie (276)
  
• Skrót rozwiÄ…zaÅ„ (276)
  
• Pytania i odpowiedzi (278)

Rozdział 10. Bezpieczeństwo w ColdFusion (281)

• Wprowadzenie (281)
  
• Jak dziaÅ‚a ColdFusion? (282)
  
  • Zalety szybkiego projektowania (283)
  • Zarys znacznikowego jÄ™zyka ColdFusion (284)
• Zachowanie bezpieczeÅ„stwa w technologii ColdFusion (286)
  
  • Projektowanie z uwzglÄ™dnieniem bezpieczeÅ„stwa (288)
  • Bezpieczne rozpowszechnianie (297)
• Przetwarzanie w aplikacjach ColdFusion (297)
  
  • Sprawdzanie istnienia danych (298)
  • Kontrola typów danych (299)
  • Szacowanie danych (301)
• Ryzyko zwiÄ…zane z technologiÄ… ColdFusion (302)
  
  • Zastosowanie programów obsÅ‚ugi bÅ‚Ä™dów (304)
• Stosowanie Å›ledzenia sesji (308)
  
• Podsumowanie (309)
  
• Skrót rozwiÄ…zaÅ„ (310)
  
• Pytania i odpowiedzi (311)

Rozdział 11. Projektowanie aplikacji spełniających wymogi bezpieczeństwa (313)

• Wprowadzenie (313)
  
• Zalety stosowania aplikacji speÅ‚niajÄ…cych wymogi bezpieczeÅ„stwa (314)
  
• Rodzaje zabezpieczeÅ„ stosowanych w aplikacjach (315)
  
  • Podpisy elektroniczne (316)
  • Pretty Good Privacy (317)
  • Protokół S/MIME (319)
  • Secure Sockets Layer (319)
  • Certyfikaty cyfrowe (323)
• Podstawowe informacje na temat PKI (325)
  
  • UsÅ‚ugi certyfikujÄ…ce (327)
• Zastosowanie PKI do zabezpieczania aplikacji WWW (328)
  
• Implementacja PKI w infrastrukturze WWW (329)
  
  • Microsoft Certificate Services (330)
  • Netscape Certificate Server (333)
  • PKI dla Serwera Apache (339)
  • PKI i Secure Software Toolkits (341)
• Testowanie zabezpieczeÅ„ (341)
  
• Podsumowanie (343)
  
• Skrót rozwiÄ…zaÅ„ (345)
  
• Pytania i odpowiedzi (347)

Rozdział 12. Od początku do końca - praca z planem bezpieczeństwa (349)

• Wprowadzenie (349)
  
• Analiza kodu (350)
  
  • Sprawdzanie kodu (351)
  • Perspektywa współpracownika (352)
• Åšwiadomość sÅ‚abych punktów kodu (354)
  
  • Testy, testy, testy (355)
• RozsÄ…dek podczas kodowania (357)
  
  • Planowanie (357)
  • Standardy kodowania (358)
  • NarzÄ™dzia (359)
• Tworzenie planu bezpieczeÅ„stwa (362)
  
  • Planowanie bezpieczeÅ„stwa na poziomie sieci (364)
  • Planowanie bezpieczeÅ„stwa na poziomie aplikacji (364)
  • Planowanie bezpieczeÅ„stwa na poziomie biura (365)
  • Proces bezpieczeÅ„stwa aplikacji WWW (365)
• Podsumowanie (367)
  
• Skrót rozwiÄ…zaÅ„ (368)
  
• Pytania i odpowiedzi (369)

Dodatek A Skrót zagadnień omawianych w książce (371)

Skorowidz (389)