Zapowiedź drugiej części książki: „Bezpieczeństwo aplikacji webowych”. Zerknijcie na spis treści. Wasze propozycje?

04 marca 2021, 18:38 | Aktualności | komentarzy 26
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Po sukcesie pierwszej książki zaczęliśmy prace nad drugą (trwa już pisanie pierwszych tekstów).

Tematyka będzie podobna jak w pierwszym tomie i nie będzie to omówienie „zaawansowanych tematów” – a po prostu innych. Wersja beta spisu treści wygląda tak:

1. Testy penetracyjne

  • Chciałbym zostać pentesterem aplikacji webowych – jak zacząć, gdzie się uczyć, jak ćwiczyć?
  • Techniczne aspekty pentestingu aplikacji webowych – jak realizować, jak nie popełnić częstych błędów
  • Niezbędnik pentestera aplikacji webowych – przydatne narzędzia
  • Wprowadzenie do OWASP Zed Attack Proxy (ZAP)
  • Znalazłem podatność – co dalej? Jak raportować, gdzie zgłaszać – raport z pola boju.
  • Dziesięć realnych podatności z testów penetracyjnych (bez cenzury)

2. Podatności

  • Eskalacja uprawnień
  • Request smuggling
  • Podatność ZipSlip
  • Podatność Race Condition
  • Błędy logiczne w aplikacjach webowych

3. ID

  • SAML – wstęp oraz problemy bezpieczeństwa
  • OpenID Connect

4. Varia

  • Aktywny rekonesans aplikacji webowych
  • Wprowadzenie do kryptografii
  • Typowe błędy w implementacji szyfrowania
  • Jak poprawnie przeliczać hasze / sygnatury danych
  • Konfiguracja aplikacji pod kątem kryptografii (klucze API, konfiguracja SSL/TLS)
  • Zatrucie pamięci podręcznej (web cache poisoning) / web cache entaglement
  • Nowoczesne mechanizmy ochronne w przeglądarkach

5. Analiza kodu źródłowego aplikacji

  • CodeQL – zautomatyzowaneposzukiwanie podatności w kodzie źródłowym
  • Statyczna i dynamiczna analiza kodu źródłowego aplikacji internetowej (-ych)

6. Infrastruktura

  • Mam aplikację webową w dockerze – czy to na pewno jest bezpieczne?
  • Web Application Firewall
  • Hardening środowiska aplikacji webowej – Linux
  • Hardening środowiska aplikacji webowej – Windows

7. Ryzyko

  • Modelowanie zagrożeń aplikacji webowych

Całość to jak widzicie około 30 nowych rozdziałów. Jeśli macie jakieś pomysły na dodatkowe tematy – piszcie w komentarzach.

Jeśli ktoś chciałby zostać współautorem (ze swoim, nie wskazanym jeszcze w spisie treści tematem, prośba o kontakt: sekurak@sekurak.pl)

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. darek

    kiedy ????

    Odpowiedz
    • Wstępnie Q2 2022. W tym roku pisanie, w przyszłym tzw. proces wydawniczy.

      Odpowiedz
  2. Michał

    Shut up and take my money!!
    Nie mogę się doczekać :)

    Odpowiedz
  3. lol

    Super sprawa! Tylko ebooka zróbcie szybciej, a nie sto lat później

    Odpowiedz
    • Nie wiemy czy ebook to w ogóle będzie :/

      Odpowiedz
      • Nabywca ebooka

        Oooo… :-(. Dlaczego może nie być ebooka?

        Ja np. zrezygnowałem z kupienia wersji papierowej i poczekałem na ebook.

        Mimo tego, że ogólnie wolę czytać papierowe książki, to w przypadku informatycznej, z fragmentami kodu, komendami, linkami przepisywanie ich z papieru do komputera byłoby ponad moje siły i moich oczu (akomodacja między książką, a komputerem i z powrotem).

        Odpowiedz
      • czang

        Brak ebooka to porażka naszych czasów :-)
        Mam chorobę oczu i nie przeczytam papieru, a ebook czyta mi TTS

        Odpowiedz
      • lol

        Helion cały czas wydaje nowe ebooczki. PWN też nie ma z tym problemu. Szkoda, bo odpływa wam spory target.

        Odpowiedz
        • jeszcze nie jest to przesądzone, sporo zależy od sprzedaży ebooków obecnej książki :-)

          Odpowiedz
        • asdsad

          Ja się nie dziwię – skrajnie: ebook bez skutecznego DRM = jeden klient, a reszta pobiera.

          Odpowiedz
      • Jacek

        Liczyłem, że przyśpieszycie wydanie e-booka, bo teraz trzeba było czekać rok, a tu taka negatywna niespodzianka. E-booka chętnie kupię, a papierowej pewnie nie.
        Patrząc na grupę docelowa książki to pewnie piractwo nie jest szczególnie popularne. Zresztą pewnie ci co spiracą e-booka to papierowej książki i tak by nie kupili.

        Odpowiedz
  4. Marek

    1. Więcej kryptografii :)
    2. Bezpieczeństwo aplikacji opartych o serverless
    3. Wstrzyknięcia do nie-sqlowych baz danych
    4. DOM Clobbering
    5. Coś o patrzeniu w logi serwera i aplikacji webowej, ich analizie (na co zwracać uwagę) i dostosowywaniu zabezpieczeń na podstawie tego co widzimy w logch.
    6. Może coś na temat 2FA? (nie wiem czy coś może pójść nie tak przy implementowaniu 2FA?). Może szczegółowy opis tego jak działają klucze U2F?
    7. Jeżeli będzie o hardeningu serwerów to może podrozdział o skanowaniu przy pomocy OpenVAS?
    8. Pośrednio związane z security – jak dobrze robić backupy żeby ransomeware nam ich nie zaszyfrował.

    Odpowiedz
  5. O, może w raporcie z pola boju w końcu się dowiem jak przyspieszać łatanie dziur, bo niektórym jak zgłaszam, to potrafią miesiącami przeciągać łatanie, a na stronie produktu „security” wielkimi literami… U niektórych każde zgłoszenie, to droga przez mękę. Momentami człowiek ma wrażenie, że bardziej mu zależy na bezpieczeństwie czyjegoś produktu niż samemu autorowi.

    Odpowiedz
  6. Nabywca ebooka

    Indeks.
    Indeks.
    Indeks.

    Serio. Brak indeksu w Waszej książce był powodem, że zmieniłem już podjętą decyzję i jej NIE kupiłem.

    Kupiłem ebook, bo w ebooku łatwiej się znajduje słowa kluczowe.

    Ale ebook też powinien mieć indeks, bo nie wszystkie wystąpienia danego słowa są „znaczące”.

    Odpowiedz
  7. Co prawda jeszcze nie wymęczyłem do końca pierwszej książki, ale największa uwaga jaką mam… aby była większa staranność co do spójności — czasami rozdziały są strasznym laniem wody, niektóre strasznie konkretne. Wiem, że autorów wiele, ale feedback jest ważny ;)

    A.. i poza burpem są też inne świetne narzędzia na świecie! Ileż można o burpie pisać!!

    Odpowiedz
    • Stąd w drugiej części – będzie opis ZAP-a :)

      Odpowiedz
  8. Incubo4u

    Może coś o urządzeniach mobilnych albo o ARM :D

    Odpowiedz
  9. Zdzich

    Może jakieś propozycje oraz referencje odnośnie skuteczności (wyniki testów) znanych web-app-firewalls zwłaszcza tych cloud czy CDN

    Odpowiedz
    • Testów to może nie ;) bo zrobienie obiektywnego testu to maaaasa czasu (a i tak zawsze można się przyczepić :) ale jakieś ciekawe bypassy z naszego doświadczenia – why not ;)

      Odpowiedz
  10. trimstray

    A może zrobicie konkurs na napisanie dodatkowego rozdziału przez czytelnika/czytelników? Najlepiej opracowany i najciekawszy temat czy tematy byłyby nagrodzone właśnie kilkoma ostatnimi stronami w Waszej książce. To byłaby mega sprawa :)

    Odpowiedz
  11. Michał

    Może coś u bezpieczeństwie WebAssembly?

    Odpowiedz
  12. Krzysztof

    Powodzenia dla całego zespołu!!!
    1. Skorowidz, koniecznie.
    2. Pliki do omawianych tematów (przykłady,kody źródłowe, raporty).
    3. Konkurs na okładkę – zwycięzca książka za free.
    4. Cyberbezpieczeństwo w czasach pandemii – jak żyć w Cyber?Jak ogarnac to wszystko pracując zdalnie, w hybrydzie.
    5. Bugbounty – aspekty prawne, finansowanie ( uczestnictwo w polskich i międzynarodowych programach). Temat niby wszyscy znaja ale nie do końca. Uczestnik programu (osoba fizyczna/firma).
    6. Dodanie „żywego” rozdziału Open, z treścią dostepna online na www rozwijanego przez spolecznosc Sekuraka i autorow książki. Tematyka może uwzględniać np. biezace sprawy z obszaru „Security” itp.Rodzial dostepny tylko dla elitarnej grupy posiadaczy kolejnej Super książki;)
    7. c.d.n.

    Odpowiedz
  13. Michał

    Wg mnie przydałby się rozdział o bezpieczeństwie kontenerów linuksowych/k8s

    Odpowiedz
  14. Jan

    OSINT i Socjotechnika to są moje ulubione tematy ;)

    Odpowiedz
  15. Karol

    SQLi a dokładnie sqlmap (opcja tamper)

    Odpowiedz

Odpowiedz