0 Ulubione Twój koszyk

Dodano produkt do koszyka

« Kontynuuj zakupy Przejdź do koszyka »

Promocja

BEZPIECZEŃSTWO APLIKACJI INTERNETOWYCH DLA PROGRAMISTÓW
  • BEZPIECZEŃSTWO APLIKACJI INTERNETOWYCH DLA PROGRAMISTÓW

BEZPIECZEŃSTWO APLIKACJI INTERNETOWYCH DLA PROGRAMISTÓW

MALCOLM MCDONALD

Wydawnictwo: HELION

Cena: 59.00 zł 46.61 brutto

Ilość:
Do koszyka + Dodaj do ulubionych
Koszty dostawy:
  • Paczkomaty InPost 14.99 zł brutto
  • Poczta Polska - odbiór w punkcie 9.99 zł brutto
  • Poczta Polska - przedpłata 15.99 zł brutto
  • Poczta Polska - pobranie 19.99 zł brutto
  • Kurier DHL - przedpłata 18.99 zł brutto
  • Kurier DHL - pobranie 21.99 zł brutto
  • Odbiór osobisty - UWAGA - uprzejmie prosimy poczekać na informację z księgarni o możliwości odbioru zamówienia - 0.00 zł brutto

Opis

Opis produktu
ISBN: 978-83-283-7803-2216 stron
format: B5
oprawa: miękka
Rok wydania: 2021
 

Niemal każdego miesiąca słyszymy o spektakularnych atakach hakerskich. Konsekwencje? Straty finansowe, poważny uszczerbek na wizerunku, a nawet zagrożenie bezpieczeństwa publicznego. Wielokierunkowa i chaotyczna ewolucja technologii internetowych, łatwy dostęp do kodów źródłowych i aktywna społeczność zmotywowanych hakerów sprawiają, że uzyskanie wysokiego standardu bezpieczeństwa aplikacji internetowej wydaje się niemożliwe do osiągnięcia. Skoro ofiarami przestępców padają wielkie korporacje i instytucje rządowe, to jakie szanse w tym wyścigu zbrojeń ma zwykły programista?

To książka przeznaczona dla programistów o różnym stopniu zaawansowania. Gruntownie wyjaśnia charakter wszystkich istotnych zagrożeń i przedstawia zasady zapewniania bezpieczeństwa aplikacji internetowych. Opisuje także przykłady rzeczywistych ataków i mechanizmy wykorzystania luk w zabezpieczeniach. Zaprezentowane treści zostały wzbogacone dokładnie wyjaśnionym kodem, pokazano tu również, jak należy naprawiać opisane luki. Nawet jeśli jesteś wyjadaczem w dziedzinie kodowania, prędko się zorientujesz, czego jeszcze nie wiesz, i dzięki lekturze uzupełnisz wiedzę, by sprawnie wdrożyć najlepsze praktyki bezpieczeństwa. Co ważne, autor nie ogranicza się do jednego języka programowania, uwzględnia natomiast zalecenia dotyczące bezpieczeństwa we wszystkich najważniejszych językach.

SPIS TRESCI

Wstęp
O tej książce
Kto powinien przeczytać tę książkę
Krótka historia internetu
Skrypty w przeglądarkach
Na scenę wkracza nowy rywal
Maszyny do pisania kodu HTML-a
Metafora systemu rur
Czym należy się martwić najbardziej
Zawartość książki

Rozdział 1. Hakowanie strony internetowej
Ataki na oprogramowanie i ukryta sieć
Jak zhakować stronę internetową

Część I. Podstawy

Rozdział 2. Jak działa internet
Zbiór protokołów internetowych
Adresy protokołu internetowego
System nazw domen
Protokoły warstwy aplikacji
HyperText Transfer Protocol
Połączenia stanowe
Szyfrowanie
Podsumowanie

Rozdział 3. Jak działają przeglądarki
Renderowanie strony internetowej
Ogólne informacje o silniku renderowania
Document Object Model
Informacje o stylach
JavaScript
Przed renderowaniem i po renderowaniu: co jeszcze robi przeglądarka
Podsumowanie

Rozdział 4. Jak działają serwery WWW
Zasoby statyczne i dynamiczne
Zasoby statyczne
Rozwiązywanie adresów URL
Systemy dostarczania treści
Systemy zarządzania treścią
Zasoby dynamiczne
Szablony
Bazy danych
Rozproszona pamięć podręczna
Języki wykorzystywane w programowaniu serwisów WWW
Podsumowanie

Rozdział 5. Jak pracują programiści
Etap 1. Projekt i analiza
Etap 2. Pisanie kodu
Rozproszone i scentralizowane systemy kontroli wersji
Tworzenie gałęzi i scalanie kodu
Etap 3. Testowanie przed publikacją
Pokrycie testami i ciągła integracja
Środowiska testowe
Etap 4. Proces publikacji
Opcje standaryzacji wdrażania podczas publikacji
Proces budowania
Skrypty do migracji bazy danych
Etap 5. Testowanie i obserwacje po publikacji
Testy penetracyjne
Rejestrowanie zdarzeń, monitorowanie i raportowanie błędów
Zarządzanie zależnościami
Podsumowanie

Część II. Zagrożenia

Rozdział 6. Ataki przez wstrzykiwanie
Wstrzykiwanie SQL-a
Czym jest SQL?
Anatomia ataku wstrzykiwania SQL-a
Pierwsza metoda obrony: użycie instrukcji parametryzowanych
Druga metoda obrony: użycie mapowania obiektowo-relacyjnego
Dodatkowa metoda obrony: obrona w głąb
Wstrzykiwanie polecenia
Anatomia ataku przez wstrzykiwanie polecenia
Metoda obrony: stosowanie sekwencji ucieczki dla znaków kontrolnych
Zdalne wykonywanie kodu
Anatomia ataku przez zdalne wykonywanie kodu
Metoda obrony: zablokowanie wykonywania kodu podczas deserializacji
Luki związane z przesyłaniem plików
Anatomia ataku przez przesłanie pliku
Metody obrony
Podsumowanie

Rozdział 7. Ataki cross-site scripting
Zapisane ataki cross-site scripting
Pierwsza metoda obrony: stosowanie sekwencji ucieczki dla znaków HTML-a
Druga metoda obrony: implementacja zasad Content Security Policy
Odbite ataki cross-site scripting
Metoda ochrony: stosowanie sekwencji ucieczki w dynamicznej zawartości żądań HTTP
Ataki cross-site scripting oparte na hierarchii DOM
Metoda obrony: stosowanie sekwencji ucieczki w dynamicznej treści z fragmentów URI
Podsumowanie

Rozdział 8. Ataki cross-site request forgery
Anatomia ataku CSRF
Pierwsza metoda obrony: przestrzeganie zasad REST
Druga metoda obrony: implementacja cookie z tokenami CSRF
Trzecia metoda obrony: użycie atrybutu cookie SameSite
Dodatkowa metoda obrony: wymagaj ponownego uwierzytelnienia w przypadku wrażliwych operacji
Podsumowanie

Rozdział 9. Naruszanie uwierzytelniania
Implementacja uwierzytelniania
Pierwsza metoda obrony: uwierzytelnianie zewnętrzne
Druga metoda obrony: integracja pojedynczego logowania
Trzecia metoda obrony: zabezpieczenie własnego systemu uwierzytelniania
Konieczność podania nazwy użytkownika, adresu e-mail lub obydwu
Konieczność tworzenia skomplikowanych haseł
Bezpieczne przechowywanie haseł
Wymaganie uwierzytelniania wieloskładnikowego
Implementowanie i zabezpieczanie funkcji wylogowania
Zapobieganie enumeracji użytkowników
Podsumowanie

Rozdział 10. Przechwytywanie sesji
Jak działają sesje
Sesje po stronie serwera
Sesje po stronie klienta
Jak hakerzy przechwytują sesje
Kradzież cookie
Fiksacja sesji
Wykorzystanie słabych identyfikatorów sesji
Podsumowanie

Rozdział 11. Uprawnienia
Eskalacja uprawnień
Kontrola dostępu
Opracowanie modelu autoryzacji
Implementacja kontroli dostępu
Testowanie kontroli dostępu
Dodawanie ścieżek audytu
Unikanie typowych niedopatrzeń
Directory traversal
Ścieżki do plików i ścieżki względne
Anatomia ataku directory traversal
Pierwsza metoda obrony: zaufaj serwerowi WWW
Druga metoda obrony: skorzystaj z usługi hostingowej
Trzecia metoda obrony: użycie niebezpośrednich odwołań do plików
Czwarta metoda obrony: czyszczenie odwołań do plików
Podsumowanie

Rozdział 12. Wycieki informacji
Pierwsza metoda obrony: usunięcie wymownych nagłówków serwera
Druga metoda obrony: użycie czystych adresów URL
Trzecia metoda obrony: użycie ogólnych parametrów cookie
Czwarta metoda obrony: wyłączenie raportowania błędów po stronie klienta
Piąta metoda obrony: minifikacja lub obfuskacja plików JavaScriptu
Szósta metoda obrony: czyszczenie plików po stronie klienta
Śledź informacje o lukach w zabezpieczeniach
Podsumowanie

Rozdział 13. Szyfrowanie
Szyfrowanie w protokole internetowym
Algorytmy szyfrowania, funkcje skrótu i kody uwierzytelniania wiadomości
TLS handshake
Włączanie HTTPS
Certyfikaty cyfrowe
Uzyskiwanie certyfikatu cyfrowego
Instalowanie certyfikatu cyfrowego
Atakowanie HTTP (i HTTPS)
Routery bezprzewodowe
Hotspoty wi-fi
Dostawcy usług internetowych
Agencje rządowe
Podsumowanie

Rozdział 14. Zewnętrzne biblioteki
Zabezpieczanie zależności
Z jakiego kodu korzystasz
Możliwość szybkiego wdrażania nowych wersji
Śledź doniesienia o problemach z bezpieczeństwem
Kiedy aktualizować
Zabezpieczanie konfiguracji
Wyłączanie domyślnych danych dostępowych
Wyłączanie otwartych indeksów katalogów
Chroń swoją konfigurację
Utwardzanie środowisk testowych
Zabezpieczanie interfejsu administratora
Zabezpieczanie używanych usług
Chroń swoje klucze do API
Zabezpieczanie mechanizmów webhook
Zabezpieczanie treści dostarczanych przez zewnętrzne podmioty
Usługi jako wektor ataku
Uważaj na malvertising
Unikanie dostarczania złośliwego oprogramowania
Korzystanie z godnych zaufania platform reklamowych
Korzystanie ze standardu SafeFrame
Dostosowanie preferencji dotyczących reklam
Przeprowadzaj inspekcje podejrzanych reklam i raportuj je
Podsumowanie

Rozdział 15. Ataki na XML-a
Użycie XML-a
Walidacja XML-a
Bomby XML-a
Ataki XML External Entity
Zabezpieczanie parsera XML-a
Python
Ruby
Node.js
Java
.NET
Inne uwarunkowania
Podsumowanie

Rozdział 16. Nie bądź narzędziem
Fałszowanie poczty elektronicznej
Implementacja metody Sender Policy Framework
Implementowanie DomainKeys Identified Mail
Zabezpieczanie poczty elektronicznej w praktyce
Kamuflowanie złośliwych linków w wiadomościach e-mail
Otwarte przekierowania
Zapobieganie otwartym przekierowaniom
Inne uwarunkowania
Clickjacking
Ochrona przed atakami typu clickjacking
Server-side request forgery
Ochrona przed atakami server-side forgery
Botnety
Ochrona przed instalacją szkodliwego oprogramowania
Podsumowanie

Rozdział 17. Ataki denial-of-service
Ataki typu denial-of-service
Ataki przez protokół Internet Control Message Protocol
Ataki przez Transmission Control Protocol
Ataki przez warstwę aplikacji
Ataki odbite i wzmocnione
Ataki distributed denial-of-service
Nieumyślne ataki denial-of-service
Ochrona przed atakami denial-of-service
Zapory sieciowe i systemy zapobiegania włamaniom
Usługi chroniące przed atakami distributed denial-of-service
Budowanie z myślą o skalowaniu
Podsumowanie

Rozdział 18. Podsumowanie
Zautomatyzuj proces publikacji
Wykonuj (gruntowne) inspekcje kodu
Testuj swój kod (do znudzenia)
Przewiduj szkodliwe dane wejściowe
Zneutralizuj ryzyko związane z przesyłaniem plików
Stosuj sekwencje ucieczki w treści podczas tworzenia kodu HTML-a
Zachowaj czujność wobec żądań HTTP z innych witryn
Haszuj swoje hasła i stosuj sól
Nie zdradzaj, kim są Twoi użytkownicy
Chroń swoje cookie
Chroń wrażliwe zasoby (nawet jeśli się do nich nie odwołujesz)
Unikaj bezpośredniego odwoływania się do plików
Nie ujawniaj informacji
Korzystaj (poprawnie) z szyfrowania
Zabezpiecz swoje zależności (i usługi)
Chroń swój parser XML-a
Bezpiecznie wysyłaj pocztę elektroniczną
Sprawdź mechanizm przekierowań (jeśli go używasz)
Nie zezwalaj na umieszczanie swojej witryny w ramkach
Ogranicz uprawnienia
Przygotuj się na wzmożony ruch

Kod wydawnictwa: 978-83-283-7803-2

Opinie, recenzje, testy:

Ten produkt nie ma jeszcze opinii

Twoja opinia

aby wystawić opinię.

Ocena:
  • Wszystkie pola są wymagane
Zapytaj o produkt

Produkty powiązane

2084 SZTUCZNA INTELIGENCJA I PRZYSZŁOŚĆ LUDZKOŚCI

2084 SZTUCZNA INTELIGENCJA I PRZYSZŁOŚĆ LUDZKOŚCI

Cena: 39.90 zł 35.91 zł
Do koszyka
ABC ELARNINGU SYSTEM LAMS

ABC ELARNINGU SYSTEM LAMS

Cena: 45.15 zł 35.67 zł
Do koszyka
AKADEMIA SIECI CISCO HP IT TECHNOLOGIA INFORMACYJNA CZĘŚĆ II SIECIOWE SYSTEMY OPERACYJNE

AKADEMIA SIECI CISCO HP IT TECHNOLOGIA INFORMACYJNA CZĘŚĆ II SIECIOWE SYSTEMY OPERACYJNE

Cena: 116.50 zł 104.85 zł
Do koszyka
AWS DLA ADMINISTRATORÓW SYSTEMÓW. TWORZENIE I UTRZYMYWANIE NIEZAWODNYCH APLIKACJI CHMUROWYCH

AWS DLA ADMINISTRATORÓW SYSTEMÓW. TWORZENIE I UTRZYMYWANIE NIEZAWODNYCH APLIKACJI CHMUROWYCH

Cena: 79.00 zł 62.41 zł
Do koszyka
C# 8.0 LEKSYKON KIESZONKOWY

C# 8.0 LEKSYKON KIESZONKOWY

Cena: 39.90 zł 31.52 zł
Do koszyka
D3.JS W AKCJI

D3.JS W AKCJI

Cena: 69.00 zł 54.51 zł
Do koszyka
Twoje konto
Obsługa klienta
Nasza firma
Kontakt

Księgarnia Ekonomiczna Kazimierz Leki Sp. z o.o.

ul. Grójecka 67

02-094 Warszawa

NIP: 7010414095

Tel. 22 822 90 41

www.24naukowa.com.pl

naukowa@ksiegarnia-ekonomiczna.com.pl