Książka sekuraka - bezpieczeństwo aplikacji webowych - spis treści / early access

01 stycznia 2019, 18:02 | Aktualności | komentarzy 30
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Co jakiś czas pojawiają się w komentarzach na sekuraku pytania dotyczące naszej książki. Krótki update: pracujemy nad nią :-)
Przypominam: temat to bezpieczeństwo aplikacji webowych. Poniżej planowane teksty (teksty przygotowane w minimum 95% oznaczone są jako [done]).

Jeśli macie jakieś dodatkowe tematy, które powinny znaleźć się w takiej książce - dajcie znać w komentarzach.

FAQ:

Kiedy będzie wydana książka?
- celujemy na wrzesień 2019r

Czy będą dostępne formaty mobilne?
- najprawdopodobniej tak

Czy będzie dostępny early access?
- najprawdopodobniej tak w okolicach marca (dostęp do wersji elektronicznej)

Zapis na early access tutaj:

Zapisując się na listę dostaniesz newsy o książce / powiązanych wydarzeniach. Obecnie zapisanych: 1480.

Dane osobowe przetwarzane są w celu przesyłania informacji związanych z książką sekuraka. Pod skrzydła wzięła nas firma: Securitum Szkolenia - tutaj zasady, wg których przetwarzane są Wasze dane osobowe: https://sekurak.pl/shp-dane-osobowe/

 

Planowany Spis treści:

Wstęp:

  • Podstawy protokołu HTTP [done]
  • Wprowadzenie do narzędzia Burp Suite community [done]
  • Modelowanie zagrożeń dla aplikacji webowych
  • DevTools w służbie bezpieczeństwa aplikacji webowych [done]
  • Same-Origin Policy

Podatności:

  • Podatność XSS
  • Podatność SQL injection
  • Podatność XXE
  • Podatność Server-Side Template Injection [done]
  • Podatności Command Injection / Code Injection
  • Podatność Cross-Site Request Forgery
  • Podatność  Server-Side Request Forgery [done]
  • Uwierzytelnianie / Autoryzacja / Session management [done]
  • Błędy logiczne

Inne obszary:

  • Czym jest CORS (Cross-Origin Resource Sharing) i jak wpływa na bezpieczeństwo [done]
  • Bezpieczne przechowywanie haseł w aplikacji [done]
  • Bezpieczeństwo API REST [done]
  • Bezpieczeństwo JWT [done]
  • Bezpieczeństwo OAuth2
  • Bezpieczeństwo WebSocket [done]
  • Rekonesans aplikacji webowych
  • Ukryte katalogi i pliki jako źródło informacji o aplikacjach internetowych [done]

 

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Michał

    Świetna sprawa z tą książką! Jestem chętny :)

    Odpowiedz
  2. Roman

    Doceniam inicjatywne, ale tematy sa b.dobrze opisane na pierwszych stronach w google, sugerował bym poruszyć bardziej nietypowe zagadnienia...

    Odpowiedz
    • :)
      1) będzie - ale to temat na kolejną to na książkę - adv.
      2) to pokaż mi proszę gdzie w google są opisane dobrze (security): 1) API REST 2) JWT 3) SSRF (poza luż leciwą SSRF bible) 4) porządnie XSS - a tu mamy mega speca od tego tematu Michała B 5) uwierzytelnianie i autoryzacja :-) 6) błędy logiczne...

      Odpowiedz
      • Dawid

        Rozdział o API zawiera to samo co Wasze szkolenie?

        Odpowiedz
      • Pytus

        Jaka jest cena: early access?

        Odpowiedz
        • będzie taka sama jak zwykłej książki (+ jak się pojawi książka będzie wysłana w formie papierowej) - jakieś kilkadziesiąt zł

          Odpowiedz
          • Duży Pies

            Czyli legalny nabywca będzie miał PDF + później dosłany papier w cenie jak za jedno z tych medium?

          • taki jest plan

    • Ja

      Popieram przedmówcę. Ponadto mam nadzieję, że zdają ie sobie sprawę, że po za php do web dev używa się innych? Mam przeczucie, że będzie to książka o php, która niewiele wniesie.

      Odpowiedz
      • Odpowiedz
        • x

          Poza PHP, Javą i .net, jest jeszcze javascript/nodejs, ruby z Rails/Sinatrą/Padrino/Roda i go. Czy będziecie również coś na temat bezpieczeństwa frameworków/języków pisać?

          Na ile stron jest planowana książka?

          Odpowiedz
          • Ile stron - to ciężkie pytanie - bo zależy od rozmiaru czcionki / wielkości stron :) Ale powinno wyjść coś w okolicach 450 stron.

          • Jacek

            Przyłączam się do pytania. a co z "javascript/nodejs, ruby z Rails/Sinatrą/Padrino/Roda i go"

          • To samo co z językiem D :-)

    • wk

      Sądząc po tym jak niska jest przeciętna jakość security w webaplikacjach, to tematy nie są "b.dobrze opisane na pierwszych stronach w google" ;) A szczególnie po polsku.

      Kolega od przeczucia "kolejna książka o php która niewiele wniesie" ewidentnie nowy na sekuraku? Witamy, witamy.

      Odpowiedz
      • JA

        Nowy? Jestem tu od początku. Niestety ale większość tematów tu poruszanych, w związku z web app, dotyczy php. Wiem, że to najpopularniejszy język, ale nie jedyny jeżeli chodzi o web app. W dodatku nie jedyny backendowy.

        Odpowiedz
        • wk: hmmm a podrzucisz (z sekuraka) - opracowania tego typu jak masz wcześniej (o .net i temat deserializacji w Java) - tylko o PHP?

          Odpowiedz
  3. ARKADIUSZ

    Jestem zainteresowany. Najważniejsze aby była opisana prostym i jasnym językiem

    Odpowiedz
  4. Jaro

    Na pewno fajnie jakby było coś o manipulowaniu pakietami przechodzącymi do i z apliakcji pomocą scapy.

    Odpowiedz
    • do tego jest burp i o tym jest duży tekst - już gotowy :)

      Odpowiedz
  5. Marek

    Kilka pomysłów:
    - security headers (x-frame-options, strict-transport-security, etc)
    - ssl vs tls + opis jakie szyfry powinny być wspierane a jakie nie
    - ReDoS
    - injection do nie-SQLowych baz danych (np. Mongo)
    - OWASP ZAP jako alternatywa dla Burpa
    - wstęp do modelowania zagrożeń/szacowania ryzyka przy implementacji nowego feature

    Odpowiedz
    • Marek, spoko pomysły. Wstrzyknięcia do Mongo to rzeczywiście dość ciekawy (choć niszowy temat). Nagłówki też powinno się udać wrzucić do książki.

      Odpowiedz
  6. G

    ja tam bym się nie obraził, gdyby artykuł o .net znalazł się w książce ;-)

    Odpowiedz
  7. P

    Byłem na waszych wielu SHP, czekam z niecierpliwością na książkę! ;)

    Odpowiedz
  8. Mariusz

    Może Bezpieczeństwo Web Services

    Odpowiedz
    • to trochę temat API REST które jest w książce :)

      Odpowiedz
  9. Maciej

    Zapowiada się super. Kończcie i publikujcie!

    Odpowiedz
  10. Jak ksìążka bedzie dostępna mogę prosić o info? Albo linka, gdzie sie można dopisać do listy sz czekających?

    Odpowiedz
    • The Me

      Przeczytaj artykuł.

      Odpowiedz

Odpowiedz