Web Application Security. Exploitation and Countermeasures for Modern Web Applications

- Autor:
- Andrew Hoffman
- Promocja Przejdź


- Ocena:
- Bądź pierwszym, który oceni tę książkę
- Stron:
- 330
- Dostępne formaty:
-
ePubMobi
Opis książki: Web Application Security. Exploitation and Countermeasures for Modern Web Applications
While many resources for network and IT security are available, detailed knowledge regarding modern web application security has been lacking—until now. This practical guide provides both offensive and defensive security concepts that software engineers can easily learn and apply.
Andrew Hoffman, a senior security engineer at Salesforce, introduces three pillars of web application security: recon, offense, and defense. You’ll learn methods for effectively researching and analyzing modern web applications—including those you don’t have direct access to. You’ll also learn how to break into web applications using the latest hacking techniques. Finally, you’ll learn how to develop mitigations for use in your own web applications to protect against hackers.
- Explore common vulnerabilities plaguing today's web applications
- Learn essential hacking techniques attackers use to exploit applications
- Map and document web applications for which you don’t have direct access
- Develop and deploy customized exploits that can bypass common defenses
- Develop and deploy mitigations to protect your applications against hackers
- Integrate secure coding best practices into your development lifecycle
- Get practical tips to help you improve the overall security of your web applications
Wybrane bestsellery
-
Książka systematyzuje wiedzę dotyczącą ataków hakerskich i technik zabezpieczania przed nimi aplikacji internetowych. Autor dogłębnie opisuje metody ataków na poziomie kodu i architektury systemu. Sporo uwagi poświęca eksperckim technikom prowadzenia rekonesansów, dzięki którym nawet bez wiedzy o...
Bezpieczeństwo nowoczesnych aplikacji internetowych. Przewodnik po zabezpieczeniach Bezpieczeństwo nowoczesnych aplikacji internetowych. Przewodnik po zabezpieczeniach
(0,00 zł najniższa cena z 30 dni)41.30 zł
59.00 zł(-30%) -
Jeżeli chcesz poznać potencjał tego duetu i zacząć tworzyć atrakcyjne aplikacje internetowe, nie możesz obejść się bez tej książki. Pomoże Ci ona szybko stworzyć pierwszy skrypt. W trakcie lektury poznasz niuanse składni JavaScriptu, sposoby obsługi zdarzeń oraz obiektowy model strony. Dzięki dal...
JavaScript i jQuery. Interaktywne strony WWW dla każdego. Podręcznik Front-End Developera JavaScript i jQuery. Interaktywne strony WWW dla każdego. Podręcznik Front-End Developera
(0,00 zł najniższa cena z 30 dni)69.30 zł
99.00 zł(-30%) -
Czy wiesz, że projektowanie skutecznych produktów cyfrowych, takich jak aplikacje, strony czy systemy, to znacznie więcej niż nadanie im ładnego wyglądu? O ich sukcesie przesądza równowaga między użytecznością, zaspokajaniem potrzeb użytkownika a szatą graficzną. Jeśli chcesz się dowiedzieć, jak ...(0,00 zł najniższa cena z 30 dni)
55.30 zł
79.00 zł(-30%) -
Praktyka stanowi podstawę pełnego zrozumienia każdego etapu procesu projektowego, ułatwia zapamiętywanie zagadnień i pokazuje zależności, jakie między nimi występują. Ćwicząc, nabierasz pewności, ugruntowujesz wiedzę. Ponadto dzięki takiej aktywności pokazujesz sobie i otoczeniu, że naprawdę znas...(0,00 zł najniższa cena z 30 dni)
41.93 zł
59.90 zł(-30%) -
To praktyczny przewodnik dla inżynierów, którzy chcą planować i wdrażać usługi Amazon Web Services. Przyda się również osobom planującym zdobycie certyfikatu AWS. Przedstawiono tu zasady pracy zgodne z najlepszymi praktykami Well-Architected Framework firmy Amazon, wprowadzono kluczowe koncepcje,...
Amazon Web Services. Podstawy korzystania z chmury AWS Amazon Web Services. Podstawy korzystania z chmury AWS
(0,00 zł najniższa cena z 30 dni)62.30 zł
89.00 zł(-30%) -
Niniejsza książka jest przeznaczona dla programistów, menedżerów projektów i architektów oprogramowania. Wyjaśniono tu niezbędne pojęcia oraz różnice dzielące systemy oparte na mikrousługach i aplikacje monolityczne, a także zasady ich projektowania. Wyczerpująco omówiono techniki rozwiązywania p...(0,00 zł najniższa cena z 30 dni)
35.40 zł
59.00 zł(-40%) -
Dzięki tej książce łatwiej zrozumiesz naturę botów i nauczysz się je projektować. Zamieszczono tu wiele informacji o pracy projektantów i programistów botów. Poza zagadnieniami teoretycznymi znajdziesz tu także sporo praktycznej wiedzy, wzbogaconej rzeczywistymi przykładami budowania użytecznych ...
Zaprojektuj bota. Tworzenie interfejsów konwersacyjnych Zaprojektuj bota. Tworzenie interfejsów konwersacyjnych
(0,00 zł najniższa cena z 30 dni)29.50 zł
59.00 zł(-50%) -
Dzięki temu praktycznemu przewodnikowi po Django zdobędziesz wiedzę i pewność siebie potrzebne do budowania rzeczywistych aplikacji w Pythonie. W przystępny sposób opisano tu podstawowe koncepcje i funkcje Django, a następnie pokazano poszczególne etapy cyklu rozwoju rzeczywistej aplikacji intern...
Django. Tworzenie nowoczesnych aplikacji internetowych w Pythonie Django. Tworzenie nowoczesnych aplikacji internetowych w Pythonie
Ben Shaw, Saurabh Badhwar, Andrew Bird, Bharath Chandra K S, Chris Guest
(0,00 zł najniższa cena z 30 dni)90.30 zł
129.00 zł(-30%) -
Oto inspirujący, przystępny i praktyczny przewodnik, dzięki któremu poznasz i zrozumiesz zasady rządzące drukiem przestrzennym. Dowiesz się, jak powstała ta technologia i jak — w zależności od jej zastosowania — wybrać najlepszy sprzęt i oprogramowanie. Nauczysz się praktycznego tworz...
Druk 3D. Praktyczny przewodnik po sprzęcie, oprogramowaniu i usługach. Wydanie II Druk 3D. Praktyczny przewodnik po sprzęcie, oprogramowaniu i usługach. Wydanie II
(0,00 zł najniższa cena z 30 dni)48.30 zł
69.00 zł(-30%) -
Automatyka przemysłowa to najszybciej rozwijający się dział inżynierii elektrycznej. Nic w tym dziwnego - obecnie w wytwórczości dąży się do maksymalnego zautomatyzowania procesów produkcyjnych. By tak się stało, paradoksalnie potrzeba ludzi. Specjalistów, którzy rozumieją zasady, na jakich pracu...
SIMATIC Motion Control - sterowanie serwonapędami. Teoria. Aplikacje. Ćwiczenia SIMATIC Motion Control - sterowanie serwonapędami. Teoria. Aplikacje. Ćwiczenia
(0,00 zł najniższa cena z 30 dni)55.30 zł
79.00 zł(-30%)
O autorze książki
1 Andrew HoffmanAndrew Hoffman jest starszym inżynierem do spraw bezpieczeństwa w Salesforce.com. Specjalizuje się w zabezpieczeniach drzewa DOM i JavaScriptu. Pracował z dostawcami wszystkich najważniejszych przeglądarek oraz z organizacjami TC39 i WHATWG. Bada również zagadnienia „bezstanowych (bezpiecznych/czystych) modułów”, umożliwiających wykonywanie kodu JavaScript przy znacznie zmniejszonym ryzyku.
Kup polskie wydanie:
Bezpieczeństwo nowoczesnych aplikacji internetowych. Przewodnik po zabezpieczeniach
- Autor:
- Andrew Hoffman
41,30 zł
59,00 zł
(35.40 zł najniższa cena z 30 dni)
Ebooka przeczytasz na:
-
czytnikach Inkbook, Kindle, Pocketbook i innych
-
systemach Windows, MacOS i innych
-
systemach Windows, Android, iOS, HarmonyOS
-
na dowolnych urządzeniach i aplikacjach obsługujących formaty: PDF, EPub, Mobi
Masz pytania? Zajrzyj do zakładki Pomoc »
Audiobooka posłuchasz:
-
w aplikacji Ebookpoint na Android, iOS, HarmonyOs
-
na systemach Windows, MacOS i innych
-
na dowolonych urządzeniach i aplikacjach obsługujących format MP3 (pliki spakowane w ZIP)
Masz pytania? Zajrzyj do zakładki Pomoc »
Kurs Video zobaczysz:
-
w aplikacji Ebookpoint na Android, iOS, HarmonyOs
-
na systemach Windows, MacOS i innych
-
na dowolonych urządzeniach i aplikacjach obsługujących format MP4 (pliki spakowane w ZIP)
Szczegóły książki
- ISBN Ebooka:
- 978-14-920-5306-4, 9781492053064
- Data wydania ebooka:
-
2020-03-02
Data wydania ebooka często jest dniem wprowadzenia tytułu do sprzedaży i może nie być równoznaczna z datą wydania książki papierowej. Dodatkowe informacje możesz znaleźć w darmowym fragmencie. Jeśli masz wątpliwości skontaktuj się z nami sklep@helion.pl.
- Język publikacji:
- angielski
- Rozmiar pliku ePub:
- 15.5MB
- Rozmiar pliku Mobi:
- 32.0MB
- Kategorie:
Technologie webowe » Inne
Spis treści książki
- Preface
- Prerequisite Knowledge and Learning Goals
- Suggested Background
- Minimum Required Skills
- Who Benefits Most from Reading This Book?
- Software Engineers and Web Application Developers
- Software engineers
- Web application developers
- Software Engineers and Web Application Developers
- General Learning Goals
- Security Engineers, Pen Testers, and Bug Bounty Hunters
- How Is This Book Organized?
- Recon
- Why is recon important?
- Recon
- Offense
- Vulnerabilities considered in depth
- Defense
- Trade-off evaluation
- Language and Terminology
- Summary
- Conventions Used in This Book
- OReilly Online Learning
- How to Contact Us
- 1. The History of Software Security
- The Origins of Hacking
- The Enigma Machine, Circa 1930
- Automated Enigma Code Cracking, Circa 1940
- Introducing the Bombe
- Telephone Phreaking, Circa 1950
- Anti-Phreaking Technology, Circa 1960
- The Origins of Computer Hacking, Circa 1980
- The Rise of the World Wide Web, Circa 2000
- Hackers in the Modern Era, Circa 2015+
- Summary
- I. Recon
- 2. Introduction to Web Application Reconnaissance
- Information Gathering
- Web Application Mapping
- Summary
- 3. The Structure of a Modern Web Application
- Modern Versus Legacy Web Applications
- REST APIs
- JavaScript Object Notation
- JavaScript
- Variables and Scope
- Functions
- Context
- Prototypal Inheritance
- Asynchrony
- Browser DOM
- SPA Frameworks
- Authentication and Authorization Systems
- Authentication
- Authorization
- Web Servers
- Server-Side Databases
- Client-Side Data Stores
- Summary
- 4. Finding Subdomains
- Multiple Applications per Domain
- The Browsers Built-In Network Analysis Tools
- Taking Advantage of Public Records
- Search Engine Caches
- Accidental Archives
- Social Snapshots
- Twitter API
- Zone Transfer Attacks
- Brute Forcing Subdomains
- Dictionary Attacks
- Summary
- 5. API Analysis
- Endpoint Discovery
- Authentication Mechanisms
- Endpoint Shapes
- Common Shapes
- Application-Specific Shapes
- Summary
- 6. Identifying Third-Party Dependencies
- Detecting Client-Side Frameworks
- Detecting SPA Frameworks
- EmberJS
- AngularJS
- React
- VueJS
- Detecting SPA Frameworks
- Detecting JavaScript Libraries
- Detecting CSS Libraries
- Detecting Client-Side Frameworks
- Detecting Server-Side Frameworks
- Header Detection
- Default Error Messages and 404 Pages
- Database Detection
- Summary
- 7. Identifying Weak Points in Application Architecture
- Secure Versus Insecure Architecture Signals
- Multiple Layers of Security
- Adoption and Reinvention
- Summary
- 8. Part I Summary
- II. Offense
- 9. Introduction to Hacking Web Applications
- The Hackers Mindset
- Applied Recon
- 10. Cross-Site Scripting (XSS)
- XSS Discovery and Exploitation
- Stored XSS
- Reflected XSS
- DOM-Based XSS
- Mutation-Based XSS
- Summary
- 11. Cross-Site Request Forgery (CSRF)
- Query Parameter Tampering
- Alternate GET Payloads
- CSRF Against POST Endpoints
- Summary
- 12. XML External Entity (XXE)
- Direct XXE
- Indirect XXE
- Summary
- 13. Injection
- SQL Injection
- Code Injection
- Command Injection
- Summary
- 14. Denial of Service (DoS)
- regex DoS (ReDoS)
- Logical DoS Vulnerabilities
- Distributed DoS
- Summary
- 15. Exploiting Third-Party Dependencies
- Methods of Integration
- Branches and Forks
- Self-Hosted Application Integrations
- Source Code Integration
- Methods of Integration
- Package Managers
- JavaScript
- Java
- Other Languages
- Common Vulnerabilities and Exposures Database
- Summary
- 16. Part II Summary
- III. Defense
- 17. Securing Modern Web Applications
- Defensive Software Architecture
- Comprehensive Code Reviews
- Vulnerability Discovery
- Vulnerability Analysis
- Vulnerability Management
- Regression Testing
- Mitigation Strategies
- Applied Recon and Offense Techniques
- 18. Secure Application Architecture
- Analyzing Feature Requirements
- Authentication and Authorization
- Secure Sockets Layer and Transport Layer Security
- Secure Credentials
- Hashing Credentials
- BCrypt
- PBKDF2
- 2FA
- PII and Financial Data
- Searching
- Summary
- 19. Reviewing Code for Security
- How to Start a Code Review
- Archetypical Vulnerabilities Versus Custom Logic Bugs
- Where to Start a Security Review
- Secure-Coding Anti-Patterns
- Blacklists
- Boilerplate Code
- Trust-By-Default Anti-Pattern
- Client/Server Separation
- Summary
- 20. Vulnerability Discovery
- Security Automation
- Static Analysis
- Dynamic Analysis
- Vulnerability Regression Testing
- Security Automation
- Responsible Disclosure Programs
- Bug Bounty Programs
- Third-Party Penetration Testing
- Summary
- 21. Vulnerability Management
- Reproducing Vulnerabilities
- Ranking Vulnerability Severity
- Common Vulnerability Scoring System
- CVSS: Base Scoring
- CVSS: Temporal Scoring
- CVSS: Environmental Scoring
- Advanced Vulnerability Scoring
- Beyond Triage and Scoring
- Summary
- 22. Defending Against XSS Attacks
- Anti-XSS Coding Best Practices
- Sanitizing User Input
- DOMParser Sink
- SVG Sink
- Blob Sink
- Sanitizing Hyperlinks
- HTML Entity Encoding
- CSS
- Content Security Policy for XSS Prevention
- Script Source
- Unsafe Eval and Unsafe Inline
- Implementing a CSP
- Summary
- 23. Defending Against CSRF Attacks
- Header Verification
- CSRF Tokens
- Stateless CSRF Tokens
- Anti-CRSF Coding Best Practices
- Stateless GET Requests
- Application-Wide CSRF Mitigation
- Anti-CSRF middleware
- Summary
- 24. Defending Against XXE
- Evaluating Other Data Formats
- Advanced XXE Risks
- Summary
- 25. Defending Against Injection
- Mitigating SQL Injection
- Detecting SQL Injection
- Prepared Statements
- Database-Specific Defenses
- Mitigating SQL Injection
- Generic Injection Defenses
- Potential Injection Targets
- Principle of Least Authority
- Whitelisting Commands
- Summary
- 26. Defending Against DoS
- Protecting Against Regex DoS
- Protecting Against Logical DoS
- Protecting Against DDoS
- DDoS Mitigation
- Summary
- 27. Securing Third-Party Dependencies
- Evaluating Dependency Trees
- Modeling a Dependency Tree
- Dependency Trees in the Real World
- Automated Evaluation
- Evaluating Dependency Trees
- Secure Integration Techniques
- Separation of Concerns
- Secure Package Management
- Summary
- 28. Part III Summary
- The History of Software Security
- Web Application Reconnaissance
- Offense
- Defense
- 29. Conclusion
- Index
O'Reilly Media - inne książki
-
Why are so many companies adopting GitOps for their DevOps and cloud native strategy? This reliable framework is quickly becoming the standard method for deploying apps to Kubernetes. With this practical, developer-oriented book, DevOps engineers, developers, IT architects, and SREs will learn th...(0,00 zł najniższa cena z 30 dni)
262.65 zł
309.00 zł(-15%) -
Learn the essentials of working with Flutter and Dart to build full stack applications that meet the needs of a cloud-driven world. Together, the Flutter open source UI software development kit and the Dart programming language for client development provide a unified solution to building applica...(0,00 zł najniższa cena z 30 dni)
220.15 zł
259.00 zł(-15%) -
The Rust programming language is extremely well suited for concurrency, and its ecosystem has many libraries that include lots of concurrent data structures, locks, and more. But implementing those structures correctly can be very difficult. Even in the most well-used libraries, memory ordering b...(0,00 zł najniższa cena z 30 dni)
186.15 zł
219.00 zł(-15%) -
More organizations than ever understand the importance of data lake architectures for deriving value from their data. Building a robust, scalable, and performant data lake remains a complex proposition, however, with a buffet of tools and options that need to work together to provide a seamless e...(0,00 zł najniższa cena z 30 dni)
220.15 zł
259.00 zł(-15%) -
The cloud promises cost savings, agility, and more. But the increasing complexity of modern IT systems often prevents businesses from realizing the outcomes they sought by moving to the cloud in the first place. At the core of this complexity is technical debt. Ad hoc decisions, traditional appro...(0,00 zł najniższa cena z 30 dni)
160.65 zł
189.00 zł(-15%) -
This philosophy-of-programming guide presents a unique and entertaining take on how to think about programming. A collection of 21 pragmatic rules, each presented in a standalone chapter, captures the essential wisdom that every freshly minted programmer needs to know and provides thought-provoki...(0,00 zł najniższa cena z 30 dni)
160.65 zł
189.00 zł(-15%) -
If you've started to work with Raspberry Pi, you know that Raspberry Pi's capabilities are continually expanding. The fourth edition of this popular cookbook provides more than 200 hands-on recipes (complete with code) that show you how to run this tiny low-cost computer with Linux, program it wi...(0,00 zł najniższa cena z 30 dni)
220.15 zł
259.00 zł(-15%) -
How do you turn raw, unprocessed, or malformed data into dynamic, interactive web visualizations? In this practical book, author Kyran Dale shows data scientists and analysts--as well as Python and JavaScript developers--how to create the ideal toolchain for the job. By providing engaging example...
Data Visualization with Python and JavaScript. 2nd Edition Data Visualization with Python and JavaScript. 2nd Edition
(0,00 zł najniższa cena z 30 dni)220.15 zł
259.00 zł(-15%) -
Python is a first-class tool for many researchers, primarily because of its libraries for storing, manipulating, and gaining insight from data. Several resources exist for individual pieces of this data science stack, but only with the new edition of Python Data Science Handbook do you get them a...(0,00 zł najniższa cena z 30 dni)
262.65 zł
309.00 zł(-15%) -
Is Kubernetes ready for stateful workloads? This open source system has become the primary platform for deploying and managing cloud native applications. But because it was originally designed for stateless workloads, working with data on Kubernetes has been challenging. If you want to avoid the ...(0,00 zł najniższa cena z 30 dni)
237.15 zł
279.00 zł(-15%)
Dzieki opcji "Druk na żądanie" do sprzedaży wracają tytuły Grupy Helion, które cieszyły sie dużym zainteresowaniem, a których nakład został wyprzedany.
Dla naszych Czytelników wydrukowaliśmy dodatkową pulę egzemplarzy w technice druku cyfrowego.
Co powinieneś wiedzieć o usłudze "Druk na żądanie":
- usługa obejmuje tylko widoczną poniżej listę tytułów, którą na bieżąco aktualizujemy;
- cena książki może być wyższa od początkowej ceny detalicznej, co jest spowodowane kosztami druku cyfrowego (wyższymi niż koszty tradycyjnego druku offsetowego). Obowiązująca cena jest zawsze podawana na stronie WWW książki;
- zawartość książki wraz z dodatkami (płyta CD, DVD) odpowiada jej pierwotnemu wydaniu i jest w pełni komplementarna;
- usługa nie obejmuje książek w kolorze.
W przypadku usługi "Druk na żądanie" termin dostarczenia przesyłki może obejmować także czas potrzebny na dodruk (do 10 dni roboczych)
Masz pytanie o konkretny tytuł? Napisz do nas: sklep[at]helion.pl.
Książka, którą chcesz zamówić pochodzi z końcówki nakładu. Oznacza to, że mogą się pojawić drobne defekty (otarcia, rysy, zagięcia).
Co powinieneś wiedzieć o usłudze "Końcówka nakładu":
- usługa obejmuje tylko książki oznaczone tagiem "Końcówka nakładu";
- wady o których mowa powyżej nie podlegają reklamacji;
Masz pytanie o konkretny tytuł? Napisz do nas: sklep[at]helion.pl.


Oceny i opinie klientów: Web Application Security. Exploitation and Countermeasures for Modern Web Applications Andrew Hoffman (0)
Weryfikacja opinii następuję na podstawie historii zamówień na koncie Użytkownika umieszczającego opinię. Użytkownik mógł otrzymać punkty za opublikowanie opinii uprawniające do uzyskania rabatu w ramach Programu Punktowego.