Wyczerpujący przewodnik wprowadzający w arkana tworzenia bezpiecznych aplikacji WWW. Twórca aplikacji WWW nie może sobie pozwolić na to, by jego dzieła były wrażliwe na ataki hakerów.

Zacznij więc myśleć jak haker, a luki w bezpieczeństwie natychmiast się ujawnią. Dzięki tej książce nauczysz się analizować metody stosowane do włamań i ataków na witryny WWW. Będziesz mógł następnie wykorzystać tę wiedzę, by zapobiegać atakom.

1. Powstrzymaj hakera myśląc tak, jak on.
   Poznaj sposoby włamania na Twoją własną witrynę i naucz się zapobiegać różnym rodzajom ataków.
2. Nie bądź maszynką do kodowania.
   Poznaj zasady prowadzące do twórczego pisania aplikacji.
3. Poznaj ryzyko związane z kodem przenośnym.
   Zdobądź wiedzę o tym, w jaki sposób kod przenośny wpływa na bezpieczeństwo po stronie klienta i jak tworzyć bezpieczny kod.
4. Pisz bezpieczne skrypty CGI.
   Poznaj zalety skryptów CGI i opanuj zasady tworzenia bezpiecznych skryptów.
5. Naucz się efektywnie śledzić wykonanie programu.
   Dowiedz się, jak analizować wykonanie programu, by wykryć jego słabe punkty.
6. Zabezpiecz swoje aplikacje.
   Opanuj podstawy PKI i zobacz, jak zastosować je w aplikacjach WWW.
7. Bezpieczne ActiveX.
   Poznaj metodologię tworzenia bezpiecznych kontrolek ActiveX.
8. Zabezpiecz swój kod.
   Dowiedz się, jak pisać bezpieczny kod w XML-u, ColdFusion, Javie i innych językach!
9. Pracuj zgodnie z planem bezpieczeństwa.
   Postępuj zgodnie z wytycznymi dotyczącymi analizy kodu i poznaj jego słabe punkty.

• Najlepsze zabezpieczania aplikacji WWW
• Zagadnienia bezpieczeństwa w projektowaniu
• Ostrzeżenia o niebezpieczeństwie
• Technologie XML, Java, ColdFusion oraz skrypty CGI.
• Witryny poświęcone hakerom
• Narzędzia i pułapki
• Pięć faz włamania
• Rodzaje ataków hakerskich
• Niezbędne etapy działania przy ocenie ryzyka
• Automatyczne narzędzia skanujące

Osoby które kupowały "Hack Proofing Your Web Applications. Edycja polska ", wybierały także:

• Spring Security. Kurs video. Skuteczne metody zabezpieczeń aplikacji 69,00 zł, (27,60 zł -60%)
• Spring Security. Kurs video. Metody zabezpieczania aplikacji webowych 69,00 zł, (31,05 zł -55%)
• Bezpieczeństwo systemów informatycznych. Zasady i praktyka. Wydanie IV. Tom 2 99,00 zł, (49,50 zł -50%)
• Hartowanie Linuksa we wrogich środowiskach sieciowych. Ochrona serwera od TLS po Tor 58,98 zł, (29,49 zł -50%)
• Joomla! Zabezpieczanie witryn 39,00 zł, (19,50 zł -50%)

Spis treści

Hack Proofing Your Web Applications. Edycja polska -- spis treści

Podziękowania (9)

Współpracownicy (10)

Przedmowa (13)

Rozdział 1. Metodologia włamań (15)

• Wprowadzenie (15)
  
  • Podstawowe terminy (16)
• Krótka historia hackingu (17)
  
  • Hacking sieci telefonicznych (17)
  • Hacking komputerowy (18)
• Co motywuje hakera? (20)
  
  • Hacking etyczny a hacking złośliwy (20)
  • Współpraca ze specjalistami ds. bezpieczeństwa (21)
• Współczesne rodzaje ataków (22)
  
  • DoS (DDoS) (22)
  • Hacking wirusowy (24)
  • Kradzież (29)
• Zagrożenia bezpieczeństwa aplikacji WWW (32)
  
  • Ukryta manipulacja (32)
  • Zamiana parametrów (33)
  • Zewnętrzne skrypty (33)
  • Przepełnienie buforów (33)
  • Zatrute cookies (34)
• Zapobieganie włamaniom poprzez przyjęcie postawy hakera (34)
  
• Podsumowanie (36)
  
• Skrót rozwiązań (37)
  
• Pytania i odpowiedzi (39)

Rozdział 2. Jak nie zostać "maszynką do kodu"? (41)

• Wprowadzenie (41)
  
• Kim jest "maszynka do kodu"? (42)
  
  • Postępując zgodnie z zasadami (45)
• Twórcze kodowanie (46)
  
  • Zastanawiać się (48)
• Bezpieczeństwo z punktu widzenia "maszynki do kodu" (50)
  
  • Programowanie w próżni (51)
• Tworzenie sprawnych i bezpiecznych aplikacji sieciowych (52)
  
  • Przecież mój kod działa! (56)
• Podsumowanie (61)
  
• Skrót rozwiązań (62)
  
• Pytania i odpowiedzi (63)

Rozdział 3. Ryzyko związane z kodem przenośnym (65)

• Wprowadzenie (65)
  
• Działanie ataków wykorzystujących kod przenośny (66)
  
  • Ataki z wykorzystaniem przeglądarek (66)
  • Ataki z wykorzystaniem programów pocztowych (67)
  • Złośliwe skrypty lub makra (68)
• Identyfikacja popularnych form kodu przenośnego (68)
  
  • Języki makropoleceń: Visual Basic for Applications (VBA) (69)
  • JavaScript (74)
  • VBScript (77)
  • Aplety w Javie (79)
  • Kontrolki ActiveX (82)
  • Załączniki listów elektronicznych i pobrane pliki wykonywalne (86)
• Ochrona systemu przez atakami wykorzystującymi kod przenośny (89)
  
  • Aplikacje bezpieczeństwa (90)
  • Narzędzia na stronach WWW (93)
• Podsumowanie (93)
  
• Skrót rozwiązań (95)
  
• Pytania i odpowiedzi (95)

Rozdział 4. Wrażliwe skrypty CGI (97)

• Wprowadzenie (97)
  
• Czym jest i co robi skrypt CGI? (98)
  
  • Typowe zastosowania skryptów CGI (99)
  • Kiedy powinno się stosować CGI? (103)
  • Zagadnienia związane z instalacją skryptów CGI (104)
• Włamania umożliwione przez słabe skrypty CGI (105)
  
  • Jak pisać bardziej szczelne skrypty CGI? (106)
  • Polecenia katalogów (108)
  • Opakowania skryptów CGI (109)
• Języki wykorzystywane do tworzenia skryptów CGI (112)
  
  • Powłoka systemu Unix (113)
  • Perl (113)
  • C (C++) (114)
  • Visual Basic (114)
• Korzyści ze stosowania skryptów CGI (115)
  
• Zasady tworzenia bezpiecznych skryptów CGI (115)
  
  • Składowanie skryptów CGI (118)
• Podsumowanie (120)
  
• Skrót rozwiązań (120)
  
• Pytania i odpowiedzi (123)

Rozdział 5. Techniki i narzędzia włamań (125)

• Wprowadzenie (125)
  
• Cele hakera (126)
  
  • Omijanie alarmów (127)
  • Zdobywanie dostępu (128)
  • Zniszczenia, zniszczenia, zniszczenia (130)
  • Jak być lepszym od hakera (131)
• Pięć etapów włamania (132)
  
  • Tworzenie planu ataku (132)
  • Tworzenie planu przebiegu włamania (134)
  • Wybranie punktu wejścia (135)
  • Stały i szeroki dostęp (136)
  • Atak (137)
• Socjotechnika (138)
  
  • Informacje poufne (138)
• Celowo pozostawione tylne wejścia (143)
  
  • Wprowadzenie do kodu ukrytego hasła (143)
• Wykorzystanie słabych stron właściwych kodowi lub środowisku programowania (145)
  
• Narzędzia wykorzystywane przez hakera (145)
  
  • Edytory szesnastkowe (145)
  • Programy uruchomieniowe (147)
  • Deasemblery (148)
• Podsumowanie (150)
  
• Skrót rozwiązań (150)
  
• Pytania i odpowiedzi (153)

Rozdział 6. Kontrola kodu i odwrotna analiza (155)

• Wprowadzenie (155)
  
• Jak efektywnie śledzić działanie programu (156)
  
• Monitorowanie i kontrola w wybranych językach programowania (158)
  
  • Java (158)
  • Java Server Pages (159)
  • Active Server Pages (159)
  • Server Side Includes (159)
  • Python (159)
  • Tool Command Language (160)
  • Practical Extraction and Reporting Language (160)
  • PHP: Hypertext Preprocessor (160)
  • C (C++) (160)
  • ColdFusion (161)
• Lokalizacja słabych punktów (161)
  
  • Pobieranie danych od użytkownika (161)
  • Lokalizacja potencjalnych błędów przepełnienia buforów (162)
  • Weryfikacja wyświetlanych informacji (165)
  • Kontrola operacji na systemie plików (168)
  • Uruchamianie zewnętrznego kodu i programów (170)
  • Zapytania do baz danych SQL (172)
  • Sieci i strumienie komunikacyjne (174)
• Praktyka (175)
  
• Podsumowanie (176)
  
• Skrót rozwiązań (176)
  
• Pytania i odpowiedzi (177)

Rozdział 7. Bezpieczeństwo w języku Java (179)

• Wprowadzenie (179)
  
• Architektura bezpieczeństwa Javy (180)
  
  • Model bezpieczeństwa w języku Java (181)
  • Piaskownica (183)
• Podejście do problemów bezpieczeństwa w Javie (187)
  
  • Programy ładujące klasy (187)
  • Weryfikator bajt-kodu (190)
  • Chronione domeny Javy (194)
• Potencjalne luki bezpieczeństwa w Javie (201)
  
  • Ataki DoS (degradacji usług) (202)
  • Konie trojańskie (204)
• Programowanie funkcjonalnych, ale bezpiecznych apletów w Javie (205)
  
  • Skróty wiadomości (206)
  • Podpisy cyfrowe (208)
  • Uwierzytelnianie (214)
  • Ochrona zabezpieczeń za pomocą podpisywania plików JAR (220)
  • Szyfrowanie (223)
  • Zalecenia Sun Microsystems odnośnie bezpieczeństwa w Javie (227)
• Podsumowanie (230)
  
• Skrót rozwiązań (231)
  
• Pytania i odpowiedzi (232)

Rozdział 8. Bezpieczeństwo w języku XML (235)

• Wprowadzenie (235)
  
• Definicja języka XML (236)
  
  • Struktura logiczna (237)
  • Elementy (237)
  • Dokumenty XML, XSL i DTD (240)
  • Zastosowanie szablonów w języku XSL (240)
  • Zastosowanie wzorów w języku XSL (241)
  • DTD (243)
• Wykorzystanie języka XML do tworzenia aplikacji WWW (245)
  
• Ryzyko związane z językiem XML (247)
  
  • Problemy tajności (248)
• Bezpieczeństwo w języku XML (249)
  
  • Specyfikacja XML Encryption (250)
  • Specyfikacja XML Digital Signatures (254)
• Podsumowanie (256)
  
• Skrót rozwiązań (257)
  
• Pytania i odpowiedzi (258)

Rozdział 9. Tworzenie bezpiecznych sieciowych kontrolek ActiveX (259)

• Wprowadzenie (259)
  
• Zagrożenia związane z technologią ActiveX (260)
  
  • Unikanie typowych luk bezpieczeństwa w kontrolkach ActiveX (262)
  • Usuwanie skutków luk w technologii ActiveX (264)
• Metodologia tworzenia bezpiecznych kontrolek ActiveX (267)
  
  • Parametry bezpieczeństwa obiektu (267)
• Bezpieczne kontrolki ActiveX (268)
  
  • Podpisywanie kontrolek (268)
  • Znakowanie kontrolek (271)
• Podsumowanie (276)
  
• Skrót rozwiązań (276)
  
• Pytania i odpowiedzi (278)

Rozdział 10. Bezpieczeństwo w ColdFusion (281)

• Wprowadzenie (281)
  
• Jak działa ColdFusion? (282)
  
  • Zalety szybkiego projektowania (283)
  • Zarys znacznikowego języka ColdFusion (284)
• Zachowanie bezpieczeństwa w technologii ColdFusion (286)
  
  • Projektowanie z uwzględnieniem bezpieczeństwa (288)
  • Bezpieczne rozpowszechnianie (297)
• Przetwarzanie w aplikacjach ColdFusion (297)
  
  • Sprawdzanie istnienia danych (298)
  • Kontrola typów danych (299)
  • Szacowanie danych (301)
• Ryzyko związane z technologią ColdFusion (302)
  
  • Zastosowanie programów obsługi błędów (304)
• Stosowanie śledzenia sesji (308)
  
• Podsumowanie (309)
  
• Skrót rozwiązań (310)
  
• Pytania i odpowiedzi (311)

Rozdział 11. Projektowanie aplikacji spełniających wymogi bezpieczeństwa (313)

• Wprowadzenie (313)
  
• Zalety stosowania aplikacji spełniających wymogi bezpieczeństwa (314)
  
• Rodzaje zabezpieczeń stosowanych w aplikacjach (315)
  
  • Podpisy elektroniczne (316)
  • Pretty Good Privacy (317)
  • Protokół S/MIME (319)
  • Secure Sockets Layer (319)
  • Certyfikaty cyfrowe (323)
• Podstawowe informacje na temat PKI (325)
  
  • Usługi certyfikujące (327)
• Zastosowanie PKI do zabezpieczania aplikacji WWW (328)
  
• Implementacja PKI w infrastrukturze WWW (329)
  
  • Microsoft Certificate Services (330)
  • Netscape Certificate Server (333)
  • PKI dla Serwera Apache (339)
  • PKI i Secure Software Toolkits (341)
• Testowanie zabezpieczeń (341)
  
• Podsumowanie (343)
  
• Skrót rozwiązań (345)
  
• Pytania i odpowiedzi (347)

Rozdział 12. Od początku do końca - praca z planem bezpieczeństwa (349)

• Wprowadzenie (349)
  
• Analiza kodu (350)
  
  • Sprawdzanie kodu (351)
  • Perspektywa współpracownika (352)
• Świadomość słabych punktów kodu (354)
  
  • Testy, testy, testy (355)
• Rozsądek podczas kodowania (357)
  
  • Planowanie (357)
  • Standardy kodowania (358)
  • Narzędzia (359)
• Tworzenie planu bezpieczeństwa (362)
  
  • Planowanie bezpieczeństwa na poziomie sieci (364)
  • Planowanie bezpieczeństwa na poziomie aplikacji (364)
  • Planowanie bezpieczeństwa na poziomie biura (365)
  • Proces bezpieczeństwa aplikacji WWW (365)
• Podsumowanie (367)
  
• Skrót rozwiązań (368)
  
• Pytania i odpowiedzi (369)

Dodatek A Skrót zagadnień omawianych w książce (371)

Skorowidz (389)