Książka: bezpieczeństwo aplikacji webowych + 4h kurs video: wprowadzenie do bezpieczeństwa aplikacji WWW
Książka (zobacz spis treści) jest pierwszym tego typu projektem na polskim rynku. W jednym tomie zebrano informacje o problemach bezpieczeństwa aplikacji webowych. Autorami tekstów są polscy pentesterzy i badacze rozpoznawalni na najważniejszych konferencjach i publikujący na łamach branżowych periodyków i portali. Wyczerpująco, klarownie i z przywołaniem aktualnego stanu wiedzy. Must have każdego, kto poważnie myśli o bezpieczeństwie aplikacji.
Uwaga, kupując tę wersję książki otrzymujesz również dostęp 4h nagrania wideo kursu (dostęp na 6 miesięcy), prowadzonego przez topowego pentestera oraz współautora książki - Michała Bentkowskiego. Kurs zawiera również kontener z aplikacją omawianą w trakcie kursu (do samodzielnej instalacji i konfiguracji).
Agenda szkolenia:
- Narzędzie Burp Suite - do czego służy i jak używać.
- Repeater - ręczne wysyłanie zapytań HTTP,
- Intruder - półautomatyczne wysyłanie zapytań HTTP,
- Całkowicie automatyczny skan aplikacji,
- Testy WebSocketów,
- Przydatne wtyczki.
- Narzędzie ffuf
- Szybkie wykrywanie katalogów na serwerze,
- Wykrywanie virtual-hostów,
- Fuzzowanie nazw i wartości parametrów
- Przeprowadzenie ataku brute-force na loginy i hasła użytkowników,
- Narzędzie deweloperskie w przeglądarce Chrome (Chrome DevTools)
- Podstawowe przydatne polecenia w konsoli JS,
- Obsługa debuggera,
- Wykrywanie podatności XSS,
- Jak analizować zminifikowany kod JS
Parametry książki: około 800 stron, ponad 280 ilustracji, kolor. Waga: około 1400 gramów. Oprawa zintegrowana. Sprzedanych już niemal 10 000 egzemplarzy! (sprawdź recenzje, zdjęcia książki).
Obecny czas realizacji to około 8 dni roboczych (od czasu zaksięgowania wpłaty do momentu wysyłki zamówienia).
Chciałbyś wesprzeć sekuraka i nabyć wersję exclusive książki (z podpisami kilku autorów)? Mamy taką opcję :-)
Potrzebujesz wysyłki zagranicznej? Napisz do nas: sklep@securitum.pl.
Spis treści.
Wstęp.
- Przedmowa [Gynvael Coldwind]
- Prawne aspekty ofensywnego bezpieczeństwa IT [Bohdan Widła]
- Podstawy protokołu HTTP [do bezpłatnego pobrania w PDF] [Michał Sajdak]
- Burp Suite Community Edition - wprowadzenie do obsługi proxy HTTP [Marcin Piosek]
- Protokół HTTP/2 – czyli szybciej, ale czy również bezpieczniej? [Michał Sajdak]
- Nagłówki HTTP w kontekście bezpieczeństwa [Artur Czyż]
- Chrome DevTools w służbie bezpieczeństwa aplikacji webowych [Rafał Janicki]
- Bezpieczeństwo haseł statycznych [Adrian Michalczyk]
Rekonesans
- Rekonesans aplikacji webowych (poszukiwanie celów) [Michał Sajdak]
- Ukryte katalogi i pliki jako źródło informacji o aplikacjach internetowych [Rafał Janicki]
Podatności
- Podatność Cross-Site Scripting (XSS) [Michał Bentkowski]
- Content Security Policy (CSP) [Michał Bentkowski]
- Same-Origin Policy i Cross-Origin Resource Sharing (CORS) [Mateusz Niezabitowski]
- Podatność Cross-Site Request Forgery (CSRF) [Michał Sajdak]
- Podatność Server-Side Template Injection (SSTI) [Mateusz Niezabitowski]
- Podatność Server-Side Request Forgery (SSRF) [Michał Sajdak]
- Podatność SQL injection [Michał Bentkowski]
- Podatność Path Traversal [Marcin Piosek]
- Podatności Command Injection / Code Injection [Marcin Piosek]
Inne obszary
- Uwierzytelnianie, zarządzanie sesją, autoryzacja [Marcin Piosek]
- Pułapki w przetwarzaniu plików XML [Michał Bentkowski]
- Bezpieczeństwo API REST [Michał Sajdak]
- Niebezpieczeństwa JSON Web Token (JWT) [Michał Sajdak]
- Zalety i wady OAuth 2.0 z perspektywy bezpieczeństwa [Marcin Piosek]
- Bezpieczeństwo protokołu WebSocket [Marcin Piosek]
- Wprowadzenie do programów Bug Bounty [Jarosław Kamiński]
- Flaga SameSite - jak działa i przed czym zapewnia ochronę? [Marcin Piosek]
Deserializacja
- Niebezpieczeństwa deserializacji w PHP [Michał Bentkowski]
- Niebezpieczeństwa deserializacji w Pythonie (moduł pickle) [Michał Bentkowski]
- Niebezpieczeństwa deserializacji w .NET [Grzegorz Trawiński]
- Niebezpieczeństwa deserializacji w Javie [Mateusz Niezabitowski]
Data dodania: 27 maj 2020
Ostatnia aktualizacja: 16 wrz 2020