Książka sekuraka – bezpieczeństwo aplikacji webowych – spis treści / early access

01 stycznia 2019, 18:02 | Aktualności | komentarzy 37
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Co jakiś czas pojawiają się w komentarzach na sekuraku pytania dotyczące naszej książki. Krótki update: pracujemy nad nią :-)
Przypominam: temat to bezpieczeństwo aplikacji webowych. Poniżej planowane teksty (teksty przygotowane w minimum 95% oznaczone są jako [done]).

Jeśli macie jakieś dodatkowe tematy, które powinny znaleźć się w takiej książce – dajcie znać w komentarzach.

FAQ:

Kiedy będzie wydana książka?
– celujemy na październik 2019r

Czy będą dostępne formaty mobilne?
– najprawdopodobniej tak

Czy będzie dostępny early access?
– najprawdopodobniej tak w okolicach marca (dostęp do wersji elektronicznej)

Zapis na early access tutaj:

Zapisując się na listę dostaniesz newsy o książce / powiązanych wydarzeniach. Obecnie zapisanych: 1883.

Dane osobowe przetwarzane są w celu przesyłania informacji związanych z książką sekuraka. Pod skrzydła wzięła nas firma: Securitum Szkolenia - tutaj zasady, wg których przetwarzane są Wasze dane osobowe: https://sekurak.pl/shp-dane-osobowe/

 

Planowany Spis treści:

Wstęp:

Podatności:

  • Podatność XSS [done]
  • Podatność SQL injection
  • Podatność XXE
  • Podatność Server-Side Template Injection [done]
  • Podatności Command Injection / Code Injection
  • Podatność Cross-Site Request Forgery [done]
  • Podatność  Server-Side Request Forgery [done]
  • Uwierzytelnianie / Autoryzacja / Session management [done]
  • Deserializacja – Java [done]
  • Deserializacja – Python
  • Deserializacja – PHP
  • Deserializacja – .NET [done]

Inne obszary:

  • Czym jest CORS (Cross-Origin Resource Sharing) i jak wpływa na bezpieczeństwo [done]
  • Bezpieczne przechowywanie haseł w aplikacji [done]
  • Bezpieczeństwo API REST [done]
  • Bezpieczeństwo JWT [done]
  • Bezpieczeństwo OAuth2 [done]
  • Bezpieczeństwo WebSocket [done]
  • Rekonesans aplikacji webowych [done]
  • Flaga cookies SameSite – jak działa i przed czym zapewnia ochronę? [done]
  • Ukryte katalogi i pliki jako źródło informacji o aplikacjach internetowych [done]

 

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Michał

    Świetna sprawa z tą książką! Jestem chętny :)

    Odpowiedz
  2. Roman

    Doceniam inicjatywne, ale tematy sa b.dobrze opisane na pierwszych stronach w google, sugerował bym poruszyć bardziej nietypowe zagadnienia…

    Odpowiedz
    • :)
      1) będzie – ale to temat na kolejną to na książkę – adv.
      2) to pokaż mi proszę gdzie w google są opisane dobrze (security): 1) API REST 2) JWT 3) SSRF (poza luż leciwą SSRF bible) 4) porządnie XSS – a tu mamy mega speca od tego tematu Michała B 5) uwierzytelnianie i autoryzacja :-) 6) błędy logiczne…

      Odpowiedz
      • Dawid

        Rozdział o API zawiera to samo co Wasze szkolenie?

        Odpowiedz
      • Pytus

        Jaka jest cena: early access?

        Odpowiedz
        • będzie taka sama jak zwykłej książki (+ jak się pojawi książka będzie wysłana w formie papierowej) – jakieś kilkadziesiąt zł

          Odpowiedz
          • Duży Pies

            Czyli legalny nabywca będzie miał PDF + później dosłany papier w cenie jak za jedno z tych medium?

          • taki jest plan

    • Ja

      Popieram przedmówcę. Ponadto mam nadzieję, że zdają ie sobie sprawę, że po za php do web dev używa się innych? Mam przeczucie, że będzie to książka o php, która niewiele wniesie.

      Odpowiedz
      • Odpowiedz
        • x

          Poza PHP, Javą i .net, jest jeszcze javascript/nodejs, ruby z Rails/Sinatrą/Padrino/Roda i go. Czy będziecie również coś na temat bezpieczeństwa frameworków/języków pisać?

          Na ile stron jest planowana książka?

          Odpowiedz
          • Ile stron – to ciężkie pytanie – bo zależy od rozmiaru czcionki / wielkości stron :) Ale powinno wyjść coś w okolicach 450 stron.

          • Jacek

            Przyłączam się do pytania. a co z „javascript/nodejs, ruby z Rails/Sinatrą/Padrino/Roda i go”

          • To samo co z językiem D :-)

    • wk

      Sądząc po tym jak niska jest przeciętna jakość security w webaplikacjach, to tematy nie są „b.dobrze opisane na pierwszych stronach w google” ;) A szczególnie po polsku.

      Kolega od przeczucia „kolejna książka o php która niewiele wniesie” ewidentnie nowy na sekuraku? Witamy, witamy.

      Odpowiedz
      • JA

        Nowy? Jestem tu od początku. Niestety ale większość tematów tu poruszanych, w związku z web app, dotyczy php. Wiem, że to najpopularniejszy język, ale nie jedyny jeżeli chodzi o web app. W dodatku nie jedyny backendowy.

        Odpowiedz
        • wk: hmmm a podrzucisz (z sekuraka) – opracowania tego typu jak masz wcześniej (o .net i temat deserializacji w Java) – tylko o PHP?

          Odpowiedz
  3. ARKADIUSZ

    Jestem zainteresowany. Najważniejsze aby była opisana prostym i jasnym językiem

    Odpowiedz
  4. Jaro

    Na pewno fajnie jakby było coś o manipulowaniu pakietami przechodzącymi do i z apliakcji pomocą scapy.

    Odpowiedz
    • do tego jest burp i o tym jest duży tekst – już gotowy :)

      Odpowiedz
  5. Marek

    Kilka pomysłów:
    – security headers (x-frame-options, strict-transport-security, etc)
    – ssl vs tls + opis jakie szyfry powinny być wspierane a jakie nie
    – ReDoS
    – injection do nie-SQLowych baz danych (np. Mongo)
    – OWASP ZAP jako alternatywa dla Burpa
    – wstęp do modelowania zagrożeń/szacowania ryzyka przy implementacji nowego feature

    Odpowiedz
    • Marek, spoko pomysły. Wstrzyknięcia do Mongo to rzeczywiście dość ciekawy (choć niszowy temat). Nagłówki też powinno się udać wrzucić do książki.

      Odpowiedz
  6. G

    ja tam bym się nie obraził, gdyby artykuł o .net znalazł się w książce ;-)

    Odpowiedz
  7. P

    Byłem na waszych wielu SHP, czekam z niecierpliwością na książkę! ;)

    Odpowiedz
  8. Mariusz

    Może Bezpieczeństwo Web Services

    Odpowiedz
    • to trochę temat API REST które jest w książce :)

      Odpowiedz
  9. Maciej

    Zapowiada się super. Kończcie i publikujcie!

    Odpowiedz
  10. Jak ksìążka bedzie dostępna mogę prosić o info? Albo linka, gdzie sie można dopisać do listy sz czekających?

    Odpowiedz
    • The Me

      Przeczytaj artykuł.

      Odpowiedz
  11. Rudus

    Coś wiadomo już o książce? Pojawi się jakiś early access?

    Odpowiedz
    • celujemy cały czas we wrzesień / październik

      early mógłby być dzisiaj nawet, tylko potrzebujemy to ogarnąć finansowo (w sensie zrobić mały serwis do obsługi całości).

      Odpowiedz
      • Rudus

        Świetnie, w takim razie czekam z niecierpliwością na dalsze wieści :)

        Odpowiedz
  12. Michał

    Jakiś update odnośnie early access ? ;)

    Odpowiedz
    • powstają kolejne teksty i ogarniamy jakiś system do płatności ;)

      Odpowiedz
  13. Adam

    Proponuje kolejną książkę pt. Jak zorganizować bezpieczeństwo informacji w małym, średnim biznesie.

    Odpowiedz

Odpowiedz