Web Application Security. Exploitation and Countermeasures for Modern Web Applications

- Autor:
- Andrew Hoffman


- Ocena:
- Bądź pierwszym, który oceni tę książkę
- Stron:
- 330
- Dostępne formaty:
-
ePubMobi
Opis ebooka: Web Application Security. Exploitation and Countermeasures for Modern Web Applications
While many resources for network and IT security are available, detailed knowledge regarding modern web application security has been lacking—until now. This practical guide provides both offensive and defensive security concepts that software engineers can easily learn and apply.
Andrew Hoffman, a senior security engineer at Salesforce, introduces three pillars of web application security: recon, offense, and defense. You’ll learn methods for effectively researching and analyzing modern web applications—including those you don’t have direct access to. You’ll also learn how to break into web applications using the latest hacking techniques. Finally, you’ll learn how to develop mitigations for use in your own web applications to protect against hackers.
- Explore common vulnerabilities plaguing today's web applications
- Learn essential hacking techniques attackers use to exploit applications
- Map and document web applications for which you don’t have direct access
- Develop and deploy customized exploits that can bypass common defenses
- Develop and deploy mitigations to protect your applications against hackers
- Integrate secure coding best practices into your development lifecycle
- Get practical tips to help you improve the overall security of your web applications
Wybrane bestsellery
-
Książka systematyzuje wiedzę dotyczącą ataków hakerskich i technik zabezpieczania przed nimi aplikacji internetowych. Autor dogłębnie opisuje metody ataków na poziomie kodu i architektury systemu. Sporo uwagi poświęca eksperckim technikom prowadzenia rekonesansów, dzięki którym nawet bez wiedzy o...
Bezpieczeństwo nowoczesnych aplikacji internetowych. Przewodnik po zabezpieczeniach Bezpieczeństwo nowoczesnych aplikacji internetowych. Przewodnik po zabezpieczeniach
(35.40 zł najniższa cena z 30 dni)38.35 zł
59.00 zł(-35%) -
Z tym przewodnikiem nauczysz się stosowania Reacta w praktyce. Dowiesz się, w jaki sposób zbudować jednostronicową, złożoną aplikację internetową, i zdobędziesz wiedzę umożliwiającą używanie tej biblioteki w codziennej pracy. Pokazano tu, jak rozpocząć projekt i rozwijać rzeczywistą aplikację. Za...
React w działaniu. Tworzenie aplikacji internetowych. Wydanie II React w działaniu. Tworzenie aplikacji internetowych. Wydanie II
(38.35 zł najniższa cena z 30 dni)38.35 zł
59.00 zł(-35%) -
Ta książka jest przewodnikiem po najważniejszych z punktu widzenia projektanta UX prawach psychologii, dzięki którym możliwe jest tworzenie produktów i usług o bardziej intuicyjnym i ukierunkowanym na człowieka charakterze. Autor posłużył się przykładami znanych aplikacji, aby lepiej wyjaśnić, ja...
Prawa UX. Jak psychologia pomaga w projektowaniu lepszych produktów i usług Prawa UX. Jak psychologia pomaga w projektowaniu lepszych produktów i usług
(29.40 zł najniższa cena z 30 dni)31.85 zł
49.00 zł(-35%) -
Tak jak do komunikacji między człowiekiem i komputerem służą klawiatura i ekran, tak do porozumiewania się człowieka z linią technologiczną czy skomplikowanym systemem elektronicznym służy panel sterowniczy. W literaturze przedmiotu oraz w praktyce przemysłowej oznacza się go angielskim akronimem...
Tworzenie wizualizacji na panele HMI firmy Siemens Tworzenie wizualizacji na panele HMI firmy Siemens
(22.45 zł najniższa cena z 30 dni)24.70 zł
44.90 zł(-45%) -
Oto inspirujący, przystępny i praktyczny przewodnik, dzięki któremu poznasz i zrozumiesz zasady rządzące drukiem przestrzennym. Dowiesz się, jak powstała ta technologia i jak — w zależności od jej zastosowania — wybrać najlepszy sprzęt i oprogramowanie. Nauczysz się praktycznego tworz...
Druk 3D. Praktyczny przewodnik po sprzęcie, oprogramowaniu i usługach. Wydanie II Druk 3D. Praktyczny przewodnik po sprzęcie, oprogramowaniu i usługach. Wydanie II
(41.40 zł najniższa cena z 30 dni)44.85 zł
69.00 zł(-35%) -
To praktyczny przewodnik dla inżynierów, którzy chcą planować i wdrażać usługi Amazon Web Services. Przyda się również osobom planującym zdobycie certyfikatu AWS. Przedstawiono tu zasady pracy zgodne z najlepszymi praktykami Well-Architected Framework firmy Amazon, wprowadzono kluczowe koncepcje,...
Amazon Web Services. Podstawy korzystania z chmury AWS Amazon Web Services. Podstawy korzystania z chmury AWS
(53.40 zł najniższa cena z 30 dni)57.85 zł
89.00 zł(-35%) -
To drugie, zaktualizowane i uzupełnione wydanie praktycznego podręcznika dla przedsiębiorców, projektantów UX i UI, a także menedżerów i strategów produktu. Znalazły się w nim skuteczne narzędzia i techniki strategiczne, które udowodniły swoją przydatność w tworzeniu innowacyjnych produktów cyfro...
Strategia UX. Techniki tworzenia innowacyjnych rozwiązań cyfrowych. Wydanie II Strategia UX. Techniki tworzenia innowacyjnych rozwiązań cyfrowych. Wydanie II
(41.40 zł najniższa cena z 30 dni)44.85 zł
69.00 zł(-35%) -
Czy wiesz, że projektowanie skutecznych produktów cyfrowych, takich jak aplikacje, strony czy systemy, to znacznie więcej niż nadanie im ładnego wyglądu? O ich sukcesie przesądza równowaga między użytecznością, zaspokajaniem potrzeb użytkownika a szatą graficzną. Jeśli chcesz się dowiedzieć, jak ...(47.40 zł najniższa cena z 30 dni)
51.35 zł
79.00 zł(-35%) -
Ta książka jest niezwykłym podręcznikiem programowania. Być może wygląda nieco dziwacznie, ale prędko się przekonasz, że to podręcznik jest wyjątkowo skuteczny: w końcu jego formuła została opracowana na podstawie najlepszych osiągnięć neurologii i kognitywistyki. W ten sposób Twój mózg się zaang...
-
Ta książka jest jedynym w swoim rodzaju praktycznym przewodnikiem po bibliotece React — przejrzystym i przystępnym. Zawiera wskazówki ułatwiające błyskawiczny start w tworzeniu efektownych i efektywnych aplikacji WWW. Nawet programista, który pierwszy raz ma do czynienia z tym narzędziem, b...
React i Redux. Praktyczne tworzenie aplikacji WWW. Wydanie II React i Redux. Praktyczne tworzenie aplikacji WWW. Wydanie II
O autorze ebooka
Andrew Hoffman jest starszym inżynierem do spraw bezpieczeństwa w Salesforce.com. Specjalizuje się w zabezpieczeniach drzewa DOM i JavaScriptu. Pracował z dostawcami wszystkich najważniejszych przeglądarek oraz z organizacjami TC39 i WHATWG. Bada również zagadnienia „bezstanowych (bezpiecznych/czystych) modułów”, umożliwiających wykonywanie kodu JavaScript przy znacznie zmniejszonym ryzyku.
Kup polskie wydanie:
Bezpieczeństwo nowoczesnych aplikacji internetowych. Przewodnik po zabezpieczeniach
- Autor:
- Andrew Hoffman
32,45 zł
59,00 zł
(29.50 zł najniższa cena z 30 dni)
Ebooka przeczytasz na:
-
czytnikach Inkbook, Kindle, Pocketbook, Onyx Boox i innych
-
systemach Windows, MacOS i innych
-
systemach Windows, Android, iOS, HarmonyOS
-
na dowolnych urządzeniach i aplikacjach obsługujących formaty: PDF, EPub, Mobi
Masz pytania? Zajrzyj do zakładki Pomoc »
Audiobooka posłuchasz:
-
w aplikacji Ebookpoint na Android, iOS, HarmonyOs
-
na systemach Windows, MacOS i innych
-
na dowolnych urządzeniach i aplikacjach obsługujących format MP3 (pliki spakowane w ZIP)
Masz pytania? Zajrzyj do zakładki Pomoc »
Kurs Video zobaczysz:
-
w aplikacji Ebookpoint na Android, iOS, HarmonyOs
-
na systemach Windows, MacOS i innych
-
na dowolnych urządzeniach i aplikacjach obsługujących format MP4 (pliki spakowane w ZIP)
Szczegóły ebooka
- ISBN Ebooka:
- 978-14-920-5306-4, 9781492053064
- Data wydania ebooka:
-
2020-03-02
Data wydania ebooka często jest dniem wprowadzenia tytułu do sprzedaży i może nie być równoznaczna z datą wydania książki papierowej. Dodatkowe informacje możesz znaleźć w darmowym fragmencie. Jeśli masz wątpliwości skontaktuj się z nami sklep@ebookpoint.pl.
- Język publikacji:
- angielski
- Rozmiar pliku ePub:
- 15.5MB
- Rozmiar pliku Mobi:
- 32.0MB
Spis treści ebooka
- Preface
- Prerequisite Knowledge and Learning Goals
- Suggested Background
- Minimum Required Skills
- Who Benefits Most from Reading This Book?
- Software Engineers and Web Application Developers
- Software engineers
- Web application developers
- Software Engineers and Web Application Developers
- General Learning Goals
- Security Engineers, Pen Testers, and Bug Bounty Hunters
- How Is This Book Organized?
- Recon
- Why is recon important?
- Recon
- Offense
- Vulnerabilities considered in depth
- Defense
- Trade-off evaluation
- Language and Terminology
- Summary
- Conventions Used in This Book
- OReilly Online Learning
- How to Contact Us
- 1. The History of Software Security
- The Origins of Hacking
- The Enigma Machine, Circa 1930
- Automated Enigma Code Cracking, Circa 1940
- Introducing the Bombe
- Telephone Phreaking, Circa 1950
- Anti-Phreaking Technology, Circa 1960
- The Origins of Computer Hacking, Circa 1980
- The Rise of the World Wide Web, Circa 2000
- Hackers in the Modern Era, Circa 2015+
- Summary
- I. Recon
- 2. Introduction to Web Application Reconnaissance
- Information Gathering
- Web Application Mapping
- Summary
- 3. The Structure of a Modern Web Application
- Modern Versus Legacy Web Applications
- REST APIs
- JavaScript Object Notation
- JavaScript
- Variables and Scope
- Functions
- Context
- Prototypal Inheritance
- Asynchrony
- Browser DOM
- SPA Frameworks
- Authentication and Authorization Systems
- Authentication
- Authorization
- Web Servers
- Server-Side Databases
- Client-Side Data Stores
- Summary
- 4. Finding Subdomains
- Multiple Applications per Domain
- The Browsers Built-In Network Analysis Tools
- Taking Advantage of Public Records
- Search Engine Caches
- Accidental Archives
- Social Snapshots
- Twitter API
- Zone Transfer Attacks
- Brute Forcing Subdomains
- Dictionary Attacks
- Summary
- 5. API Analysis
- Endpoint Discovery
- Authentication Mechanisms
- Endpoint Shapes
- Common Shapes
- Application-Specific Shapes
- Summary
- 6. Identifying Third-Party Dependencies
- Detecting Client-Side Frameworks
- Detecting SPA Frameworks
- EmberJS
- AngularJS
- React
- VueJS
- Detecting SPA Frameworks
- Detecting JavaScript Libraries
- Detecting CSS Libraries
- Detecting Client-Side Frameworks
- Detecting Server-Side Frameworks
- Header Detection
- Default Error Messages and 404 Pages
- Database Detection
- Summary
- 7. Identifying Weak Points in Application Architecture
- Secure Versus Insecure Architecture Signals
- Multiple Layers of Security
- Adoption and Reinvention
- Summary
- 8. Part I Summary
- II. Offense
- 9. Introduction to Hacking Web Applications
- The Hackers Mindset
- Applied Recon
- 10. Cross-Site Scripting (XSS)
- XSS Discovery and Exploitation
- Stored XSS
- Reflected XSS
- DOM-Based XSS
- Mutation-Based XSS
- Summary
- 11. Cross-Site Request Forgery (CSRF)
- Query Parameter Tampering
- Alternate GET Payloads
- CSRF Against POST Endpoints
- Summary
- 12. XML External Entity (XXE)
- Direct XXE
- Indirect XXE
- Summary
- 13. Injection
- SQL Injection
- Code Injection
- Command Injection
- Summary
- 14. Denial of Service (DoS)
- regex DoS (ReDoS)
- Logical DoS Vulnerabilities
- Distributed DoS
- Summary
- 15. Exploiting Third-Party Dependencies
- Methods of Integration
- Branches and Forks
- Self-Hosted Application Integrations
- Source Code Integration
- Methods of Integration
- Package Managers
- JavaScript
- Java
- Other Languages
- Common Vulnerabilities and Exposures Database
- Summary
- 16. Part II Summary
- III. Defense
- 17. Securing Modern Web Applications
- Defensive Software Architecture
- Comprehensive Code Reviews
- Vulnerability Discovery
- Vulnerability Analysis
- Vulnerability Management
- Regression Testing
- Mitigation Strategies
- Applied Recon and Offense Techniques
- 18. Secure Application Architecture
- Analyzing Feature Requirements
- Authentication and Authorization
- Secure Sockets Layer and Transport Layer Security
- Secure Credentials
- Hashing Credentials
- BCrypt
- PBKDF2
- 2FA
- PII and Financial Data
- Searching
- Summary
- 19. Reviewing Code for Security
- How to Start a Code Review
- Archetypical Vulnerabilities Versus Custom Logic Bugs
- Where to Start a Security Review
- Secure-Coding Anti-Patterns
- Blacklists
- Boilerplate Code
- Trust-By-Default Anti-Pattern
- Client/Server Separation
- Summary
- 20. Vulnerability Discovery
- Security Automation
- Static Analysis
- Dynamic Analysis
- Vulnerability Regression Testing
- Security Automation
- Responsible Disclosure Programs
- Bug Bounty Programs
- Third-Party Penetration Testing
- Summary
- 21. Vulnerability Management
- Reproducing Vulnerabilities
- Ranking Vulnerability Severity
- Common Vulnerability Scoring System
- CVSS: Base Scoring
- CVSS: Temporal Scoring
- CVSS: Environmental Scoring
- Advanced Vulnerability Scoring
- Beyond Triage and Scoring
- Summary
- 22. Defending Against XSS Attacks
- Anti-XSS Coding Best Practices
- Sanitizing User Input
- DOMParser Sink
- SVG Sink
- Blob Sink
- Sanitizing Hyperlinks
- HTML Entity Encoding
- CSS
- Content Security Policy for XSS Prevention
- Script Source
- Unsafe Eval and Unsafe Inline
- Implementing a CSP
- Summary
- 23. Defending Against CSRF Attacks
- Header Verification
- CSRF Tokens
- Stateless CSRF Tokens
- Anti-CRSF Coding Best Practices
- Stateless GET Requests
- Application-Wide CSRF Mitigation
- Anti-CSRF middleware
- Summary
- 24. Defending Against XXE
- Evaluating Other Data Formats
- Advanced XXE Risks
- Summary
- 25. Defending Against Injection
- Mitigating SQL Injection
- Detecting SQL Injection
- Prepared Statements
- Database-Specific Defenses
- Mitigating SQL Injection
- Generic Injection Defenses
- Potential Injection Targets
- Principle of Least Authority
- Whitelisting Commands
- Summary
- 26. Defending Against DoS
- Protecting Against Regex DoS
- Protecting Against Logical DoS
- Protecting Against DDoS
- DDoS Mitigation
- Summary
- 27. Securing Third-Party Dependencies
- Evaluating Dependency Trees
- Modeling a Dependency Tree
- Dependency Trees in the Real World
- Automated Evaluation
- Evaluating Dependency Trees
- Secure Integration Techniques
- Separation of Concerns
- Secure Package Management
- Summary
- 28. Part III Summary
- The History of Software Security
- Web Application Reconnaissance
- Offense
- Defense
- 29. Conclusion
- Index
O'Reilly Media - inne książki
-
The way developers design, build, and run software has changed significantly with the evolution of microservices and containers. These modern architectures offer new distributed primitives that require a different set of practices than many developers, tech leads, and architects are accustomed to...(211.65 zł najniższa cena z 30 dni)
220.15 zł
259.00 zł(-15%) -
Learn how to build end-to-end scalable machine learning solutions with Apache Spark. With this practical guide, author Adi Polak introduces data and ML practitioners to creative solutions that supersede today's traditional methods. You'll learn a more holistic approach that takes you beyond speci...(262.65 zł najniższa cena z 30 dni)
262.65 zł
309.00 zł(-15%) -
What is eBPF? With this revolutionary technology, you can write custom code that dynamically changes the way the kernel behaves. It's an extraordinary platform for building a whole new generation of security, observability, and networking tools.This practical book is ideal for developers, system ...(186.15 zł najniższa cena z 30 dni)
186.15 zł
219.00 zł(-15%) -
Combing the web is simple, but how do you search for data at work? It's difficult and time-consuming, and can sometimes seem impossible. This book introduces a practical solution: the data catalog. Data analysts, data scientists, and data engineers will learn how to create true data discovery in ...(220.15 zł najniższa cena z 30 dni)
220.15 zł
259.00 zł(-15%) -
This updated edition of the Nutshell guide not only helps experienced Java programmers get the most out of versions through Java 17, it also serves as a learning path for new developers. Chock-full of examples that demonstrate how to take complete advantage of modern Java APIs and development bes...(220.15 zł najniższa cena z 30 dni)
220.15 zł
259.00 zł(-15%) -
Get started with Ray, the open source distributed computing framework that simplifies the process of scaling compute-intensive Python workloads. With this practical book, Python programmers, data engineers, and data scientists will learn how to leverage Ray locally and spin up compute clusters. Y...(220.15 zł najniższa cena z 30 dni)
220.15 zł
259.00 zł(-15%) -
Remove your doubts about AI and explore how this technology can be future-proofed using blockchain's smart contracts and tamper-evident ledgers. With this practical book, system architects, software engineers, and systems solution specialists will learn how enterprise blockchain provides permanen...(262.65 zł najniższa cena z 30 dni)
262.65 zł
309.00 zł(-15%) -
FinOps brings financial accountability to the variable spend model of cloud. Used by the majority of global enterprises, this management practice has grown from a fringe activity to the de facto discipline managing cloud spend. In this book, authors J.R. Storment and Mike Fuller outline the proce...(262.65 zł najniższa cena z 30 dni)
262.65 zł
309.00 zł(-15%) -
Edge AI is transforming the way computers interact with the real world, allowing IoT devices to make decisions using the 99% of sensor data that was previously discarded due to cost, bandwidth, or power limitations. With techniques like embedded machine learning, developers can capture human intu...(262.65 zł najniższa cena z 30 dni)
262.65 zł
309.00 zł(-15%) -
Why is it difficult for so many companies to get digital identity right? If you're still wrestling with even simple identity problems like modern website authentication, this practical book has the answers you need. Author Phil Windley provides conceptual frameworks to help you make sense of all ...(186.15 zł najniższa cena z 30 dni)
186.15 zł
219.00 zł(-15%)
Dzieki opcji "Druk na żądanie" do sprzedaży wracają tytuły Grupy Helion, które cieszyły sie dużym zainteresowaniem, a których nakład został wyprzedany.
Dla naszych Czytelników wydrukowaliśmy dodatkową pulę egzemplarzy w technice druku cyfrowego.
Co powinieneś wiedzieć o usłudze "Druk na żądanie":
- usługa obejmuje tylko widoczną poniżej listę tytułów, którą na bieżąco aktualizujemy;
- cena książki może być wyższa od początkowej ceny detalicznej, co jest spowodowane kosztami druku cyfrowego (wyższymi niż koszty tradycyjnego druku offsetowego). Obowiązująca cena jest zawsze podawana na stronie WWW książki;
- zawartość książki wraz z dodatkami (płyta CD, DVD) odpowiada jej pierwotnemu wydaniu i jest w pełni komplementarna;
- usługa nie obejmuje książek w kolorze.
W przypadku usługi "Druk na żądanie" termin dostarczenia przesyłki może obejmować także czas potrzebny na dodruk (do 10 dni roboczych)
Masz pytanie o konkretny tytuł? Napisz do nas: sklep[at]helion.pl.
Książka, którą chcesz zamówić pochodzi z końcówki nakładu. Oznacza to, że mogą się pojawić drobne defekty (otarcia, rysy, zagięcia).
Co powinieneś wiedzieć o usłudze "Końcówka nakładu":
- usługa obejmuje tylko książki oznaczone tagiem "Końcówka nakładu";
- wady o których mowa powyżej nie podlegają reklamacji;
Masz pytanie o konkretny tytuł? Napisz do nas: sklep[at]helion.pl.


Oceny i opinie klientów: Web Application Security. Exploitation and Countermeasures for Modern Web Applications Andrew Hoffman (0)
Weryfikacja opinii następuję na podstawie historii zamówień na koncie Użytkownika umieszczającego opinię. Użytkownik mógł otrzymać punkty za opublikowanie opinii uprawniające do uzyskania rabatu w ramach Programu Punktowego.