Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Książka sekuraka – bezpieczeństwo aplikacji webowych – spis treści / early access
Co jakiś czas pojawiają się w komentarzach na sekuraku pytania dotyczące naszej książki. Krótki update: pracujemy nad nią :-)
Przypominam: temat to bezpieczeństwo aplikacji webowych. Poniżej planowane teksty (teksty przygotowane w minimum 95% oznaczone są jako [done]).
Jeśli macie jakieś dodatkowe tematy, które powinny znaleźć się w takiej książce – dajcie znać w komentarzach.
FAQ:
Kiedy będzie wydana książka?
– celujemy na październik 2019r
Czy będą dostępne formaty mobilne?
– najprawdopodobniej tak
Czy będzie dostępny early access?
– najprawdopodobniej tak w okolicach marca (dostęp do wersji elektronicznej)
Zapis na early access tutaj:
[wysija_form id=”19″]
Planowany Spis treści:
Wstęp:
- Podstawy protokołu HTTP [done]
- Protokół HTTP/2 – czyli szybciej, ale czy również bezpieczniej? [done]
- Wprowadzenie do narzędzia Burp Suite community [done]
- Modelowanie zagrożeń dla aplikacji webowych
- DevTools w służbie bezpieczeństwa aplikacji webowych [done]
- Nagłówki HTTP w kontekście bezpieczeństwa i niebezpieczeństwa [new!] [done]
- Same-Origin Policy [done]
- Prawne aspekty hackingu [new!]
Podatności:
- Podatność XSS [done]
- Podatność SQL injection
- Podatność XXE
- Podatność Server-Side Template Injection [done]
- Podatności Command Injection / Code Injection
- Podatność Cross-Site Request Forgery [done]
- Podatność Server-Side Request Forgery [done]
- Uwierzytelnianie / Autoryzacja / Session management [done]
- Podatność Race Condition [new!] [done]
- Deserializacja – Java [done]
- Deserializacja – Python
- Deserializacja – PHP
- Deserializacja – .NET [done]
Inne obszary:
- Bug Bounty w praktyce [new!]
- Czym jest CORS (Cross-Origin Resource Sharing) i jak wpływa na bezpieczeństwo [done]
- Bezpieczne przechowywanie haseł w aplikacji [done]
- Bezpieczeństwo API REST [done]
- Bezpieczeństwo JWT [done]
- Bezpieczeństwo OAuth2 [done]
- Bezpieczeństwo WebSocket [done]
- Rekonesans aplikacji webowych [done]
- Flaga cookies SameSite – jak działa i przed czym zapewnia ochronę? [done]
- Ukryte katalogi i pliki jako źródło informacji o aplikacjach internetowych [done]
Świetna sprawa z tą książką! Jestem chętny :)
Doceniam inicjatywne, ale tematy sa b.dobrze opisane na pierwszych stronach w google, sugerował bym poruszyć bardziej nietypowe zagadnienia…
:)
1) będzie – ale to temat na kolejną to na książkę – adv.
2) to pokaż mi proszę gdzie w google są opisane dobrze (security): 1) API REST 2) JWT 3) SSRF (poza luż leciwą SSRF bible) 4) porządnie XSS – a tu mamy mega speca od tego tematu Michała B 5) uwierzytelnianie i autoryzacja :-) 6) błędy logiczne…
Rozdział o API zawiera to samo co Wasze szkolenie?
Część tak, część nie
Jaka jest cena: early access?
będzie taka sama jak zwykłej książki (+ jak się pojawi książka będzie wysłana w formie papierowej) – jakieś kilkadziesiąt zł
Czyli legalny nabywca będzie miał PDF + później dosłany papier w cenie jak za jedno z tych medium?
taki jest plan
Popieram przedmówcę. Ponadto mam nadzieję, że zdają ie sobie sprawę, że po za php do web dev używa się innych? Mam przeczucie, że będzie to książka o php, która niewiele wniesie.
Hm, to książka o ITsec nie o programowaniu w jakimś konkretnym języku. Rzeczy php specyfić może będzie kilka – a część takich które zadziwią i tych nie php-owych np. domyślnie włączony protokół phar:// i RCE z tym związane.
Co do np. Javy to polecam zerknąć:
https://sekurak.pl/java-vs-deserializacja-niezaufanych-danych-i-zdalne-wykonanie-kodu-czesc-i/ (są też kolejne 2 części)
Co do .net: https://sekurak.pl/bezpieczenstwo-net-praktyczne-porady/
Poza PHP, Javą i .net, jest jeszcze javascript/nodejs, ruby z Rails/Sinatrą/Padrino/Roda i go. Czy będziecie również coś na temat bezpieczeństwa frameworków/języków pisać?
Na ile stron jest planowana książka?
Ile stron – to ciężkie pytanie – bo zależy od rozmiaru czcionki / wielkości stron :) Ale powinno wyjść coś w okolicach 450 stron.
Przyłączam się do pytania. a co z „javascript/nodejs, ruby z Rails/Sinatrą/Padrino/Roda i go”
To samo co z językiem D :-)
Sądząc po tym jak niska jest przeciętna jakość security w webaplikacjach, to tematy nie są „b.dobrze opisane na pierwszych stronach w google” ;) A szczególnie po polsku.
Kolega od przeczucia „kolejna książka o php która niewiele wniesie” ewidentnie nowy na sekuraku? Witamy, witamy.
Nowy? Jestem tu od początku. Niestety ale większość tematów tu poruszanych, w związku z web app, dotyczy php. Wiem, że to najpopularniejszy język, ale nie jedyny jeżeli chodzi o web app. W dodatku nie jedyny backendowy.
wk: hmmm a podrzucisz (z sekuraka) – opracowania tego typu jak masz wcześniej (o .net i temat deserializacji w Java) – tylko o PHP?
Jestem zainteresowany. Najważniejsze aby była opisana prostym i jasnym językiem
Na pewno fajnie jakby było coś o manipulowaniu pakietami przechodzącymi do i z apliakcji pomocą scapy.
do tego jest burp i o tym jest duży tekst – już gotowy :)
Kilka pomysłów:
– security headers (x-frame-options, strict-transport-security, etc)
– ssl vs tls + opis jakie szyfry powinny być wspierane a jakie nie
– ReDoS
– injection do nie-SQLowych baz danych (np. Mongo)
– OWASP ZAP jako alternatywa dla Burpa
– wstęp do modelowania zagrożeń/szacowania ryzyka przy implementacji nowego feature
Marek, spoko pomysły. Wstrzyknięcia do Mongo to rzeczywiście dość ciekawy (choć niszowy temat). Nagłówki też powinno się udać wrzucić do książki.
ja tam bym się nie obraził, gdyby artykuł o .net znalazł się w książce ;-)
Byłem na waszych wielu SHP, czekam z niecierpliwością na książkę! ;)
Może Bezpieczeństwo Web Services
to trochę temat API REST które jest w książce :)
Zapowiada się super. Kończcie i publikujcie!
Jak ksìążka bedzie dostępna mogę prosić o info? Albo linka, gdzie sie można dopisać do listy sz czekających?
Przeczytaj artykuł.
Coś wiadomo już o książce? Pojawi się jakiś early access?
celujemy cały czas we wrzesień / październik
early mógłby być dzisiaj nawet, tylko potrzebujemy to ogarnąć finansowo (w sensie zrobić mały serwis do obsługi całości).
Świetnie, w takim razie czekam z niecierpliwością na dalsze wieści :)
Jakiś update odnośnie early access ? ;)
powstają kolejne teksty i ogarniamy jakiś system do płatności ;)
Proponuje kolejną książkę pt. Jak zorganizować bezpieczeństwo informacji w małym, średnim biznesie.
tak na szybko obadaj: Small Business Information Security:
The Fundamentals (https://nvlpubs.nist.gov/nistpubs/ir/2016/NIST.IR.7621r1.pdf) + do tego np. CIS top 20 security controls.
Zapisałem sie w lutym, ale nie dostałem żednej informacji od Sekuraka w/s książki od tego pierwszego maila gdzie był link potwierdzający subskrypcję :-(
bo nie było na razie nic wysyłane – nie ślemy tam słać spamu, tylko same konkrety :) Będzie start przedsprzedaży – będzie mailing :)
Czekam na ksiazke z niecierpliwoscia :)
Hej, super sprawa. Na pewno kupię. Brakuje tematyki związanej z protokołami komunikacji real-time i ich pobocznymi np. ssl handshake, tls 1.3 itp.
Kiedy rusza normalna przedsprzedaż?(1 szt.)
przyszły tydzień.