Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Zapowiedź drugiej części książki: „Bezpieczeństwo aplikacji webowych”. Zerknijcie na spis treści. Wasze propozycje?
Po sukcesie pierwszej książki zaczęliśmy prace nad drugą (trwa już pisanie pierwszych tekstów).
Tematyka będzie podobna jak w pierwszym tomie i nie będzie to omówienie „zaawansowanych tematów” – a po prostu innych. Wersja beta spisu treści wygląda tak:
1. Testy penetracyjne
- Chciałbym zostać pentesterem aplikacji webowych – jak zacząć, gdzie się uczyć, jak ćwiczyć?
- Techniczne aspekty pentestingu aplikacji webowych – jak realizować, jak nie popełnić częstych błędów
- Niezbędnik pentestera aplikacji webowych – przydatne narzędzia
- Wprowadzenie do OWASP Zed Attack Proxy (ZAP)
- Znalazłem podatność – co dalej? Jak raportować, gdzie zgłaszać – raport z pola boju.
- Dziesięć realnych podatności z testów penetracyjnych (bez cenzury)
2. Podatności
- Eskalacja uprawnień
- Request smuggling
- Podatność ZipSlip
- Podatność Race Condition
- Błędy logiczne w aplikacjach webowych
3. ID
- SAML – wstęp oraz problemy bezpieczeństwa
- OpenID Connect
4. Varia
- Aktywny rekonesans aplikacji webowych
- Wprowadzenie do kryptografii
- Typowe błędy w implementacji szyfrowania
- Jak poprawnie przeliczać hasze / sygnatury danych
- Konfiguracja aplikacji pod kątem kryptografii (klucze API, konfiguracja SSL/TLS)
- Zatrucie pamięci podręcznej (web cache poisoning) / web cache entaglement
- Nowoczesne mechanizmy ochronne w przeglądarkach
5. Analiza kodu źródłowego aplikacji
- CodeQL – zautomatyzowaneposzukiwanie podatności w kodzie źródłowym
- Statyczna i dynamiczna analiza kodu źródłowego aplikacji internetowej (-ych)
6. Infrastruktura
- Mam aplikację webową w dockerze – czy to na pewno jest bezpieczne?
- Web Application Firewall
- Hardening środowiska aplikacji webowej – Linux
- Hardening środowiska aplikacji webowej – Windows
7. Ryzyko
- Modelowanie zagrożeń aplikacji webowych
Całość to jak widzicie około 30 nowych rozdziałów. Jeśli macie jakieś pomysły na dodatkowe tematy – piszcie w komentarzach.
Jeśli ktoś chciałby zostać współautorem (ze swoim, nie wskazanym jeszcze w spisie treści tematem, prośba o kontakt: sekurak@sekurak.pl)
–ms
kiedy ????
Wstępnie Q2 2022. W tym roku pisanie, w przyszłym tzw. proces wydawniczy.
Shut up and take my money!!
Nie mogę się doczekać :)
Super sprawa! Tylko ebooka zróbcie szybciej, a nie sto lat później
Nie wiemy czy ebook to w ogóle będzie :/
Oooo… :-(. Dlaczego może nie być ebooka?
Ja np. zrezygnowałem z kupienia wersji papierowej i poczekałem na ebook.
Mimo tego, że ogólnie wolę czytać papierowe książki, to w przypadku informatycznej, z fragmentami kodu, komendami, linkami przepisywanie ich z papieru do komputera byłoby ponad moje siły i moich oczu (akomodacja między książką, a komputerem i z powrotem).
Brak ebooka to porażka naszych czasów :-)
Mam chorobę oczu i nie przeczytam papieru, a ebook czyta mi TTS
Helion cały czas wydaje nowe ebooczki. PWN też nie ma z tym problemu. Szkoda, bo odpływa wam spory target.
jeszcze nie jest to przesądzone, sporo zależy od sprzedaży ebooków obecnej książki :-)
Ja się nie dziwię – skrajnie: ebook bez skutecznego DRM = jeden klient, a reszta pobiera.
Liczyłem, że przyśpieszycie wydanie e-booka, bo teraz trzeba było czekać rok, a tu taka negatywna niespodzianka. E-booka chętnie kupię, a papierowej pewnie nie.
Patrząc na grupę docelowa książki to pewnie piractwo nie jest szczególnie popularne. Zresztą pewnie ci co spiracą e-booka to papierowej książki i tak by nie kupili.
1. Więcej kryptografii :)
2. Bezpieczeństwo aplikacji opartych o serverless
3. Wstrzyknięcia do nie-sqlowych baz danych
4. DOM Clobbering
5. Coś o patrzeniu w logi serwera i aplikacji webowej, ich analizie (na co zwracać uwagę) i dostosowywaniu zabezpieczeń na podstawie tego co widzimy w logch.
6. Może coś na temat 2FA? (nie wiem czy coś może pójść nie tak przy implementowaniu 2FA?). Może szczegółowy opis tego jak działają klucze U2F?
7. Jeżeli będzie o hardeningu serwerów to może podrozdział o skanowaniu przy pomocy OpenVAS?
8. Pośrednio związane z security – jak dobrze robić backupy żeby ransomeware nam ich nie zaszyfrował.
+1
O, może w raporcie z pola boju w końcu się dowiem jak przyspieszać łatanie dziur, bo niektórym jak zgłaszam, to potrafią miesiącami przeciągać łatanie, a na stronie produktu „security” wielkimi literami… U niektórych każde zgłoszenie, to droga przez mękę. Momentami człowiek ma wrażenie, że bardziej mu zależy na bezpieczeństwie czyjegoś produktu niż samemu autorowi.
Indeks.
Indeks.
Indeks.
Serio. Brak indeksu w Waszej książce był powodem, że zmieniłem już podjętą decyzję i jej NIE kupiłem.
Kupiłem ebook, bo w ebooku łatwiej się znajduje słowa kluczowe.
Ale ebook też powinien mieć indeks, bo nie wszystkie wystąpienia danego słowa są „znaczące”.
Co prawda jeszcze nie wymęczyłem do końca pierwszej książki, ale największa uwaga jaką mam… aby była większa staranność co do spójności — czasami rozdziały są strasznym laniem wody, niektóre strasznie konkretne. Wiem, że autorów wiele, ale feedback jest ważny ;)
A.. i poza burpem są też inne świetne narzędzia na świecie! Ileż można o burpie pisać!!
Stąd w drugiej części – będzie opis ZAP-a :)
Może coś o urządzeniach mobilnych albo o ARM :D
Może jakieś propozycje oraz referencje odnośnie skuteczności (wyniki testów) znanych web-app-firewalls zwłaszcza tych cloud czy CDN
Testów to może nie ;) bo zrobienie obiektywnego testu to maaaasa czasu (a i tak zawsze można się przyczepić :) ale jakieś ciekawe bypassy z naszego doświadczenia – why not ;)
A może zrobicie konkurs na napisanie dodatkowego rozdziału przez czytelnika/czytelników? Najlepiej opracowany i najciekawszy temat czy tematy byłyby nagrodzone właśnie kilkoma ostatnimi stronami w Waszej książce. To byłaby mega sprawa :)
Może coś u bezpieczeństwie WebAssembly?
Powodzenia dla całego zespołu!!!
1. Skorowidz, koniecznie.
2. Pliki do omawianych tematów (przykłady,kody źródłowe, raporty).
3. Konkurs na okładkę – zwycięzca książka za free.
4. Cyberbezpieczeństwo w czasach pandemii – jak żyć w Cyber?Jak ogarnac to wszystko pracując zdalnie, w hybrydzie.
5. Bugbounty – aspekty prawne, finansowanie ( uczestnictwo w polskich i międzynarodowych programach). Temat niby wszyscy znaja ale nie do końca. Uczestnik programu (osoba fizyczna/firma).
6. Dodanie „żywego” rozdziału Open, z treścią dostepna online na www rozwijanego przez spolecznosc Sekuraka i autorow książki. Tematyka może uwzględniać np. biezace sprawy z obszaru „Security” itp.Rodzial dostepny tylko dla elitarnej grupy posiadaczy kolejnej Super książki;)
7. c.d.n.
Wg mnie przydałby się rozdział o bezpieczeństwie kontenerów linuksowych/k8s
OSINT i Socjotechnika to są moje ulubione tematy ;)
SQLi a dokładnie sqlmap (opcja tamper)