Wyczerpujący przewodnik wprowadzający w arkana tworzenia bezpiecznych aplikacji WWW. Twórca aplikacji WWW nie może sobie pozwolić na to, by jego dzieła były wrażliwe na ataki hakerów.Zacznij więc myśleć jak haker, a luki w bezpieczeństwie natychmiast się ujawnią. Dzięki tej książce nauczysz się analizować metody stosowane do włamań i ataków na witryny WWW. Będziesz mógł następnie wykorzystać tę wiedzę, by zapobiegać atakom.
- Powstrzymaj hakera myśląc tak, jak on.
Poznaj sposoby włamania na Twoją własną witrynę i naucz się zapobiegać różnym rodzajom ataków. - Nie bądź maszynką do kodowania.
Poznaj zasady prowadzące do twórczego pisania aplikacji. - Poznaj ryzyko związane z kodem przenośnym.
Zdobądź wiedzę o tym, w jaki sposób kod przenośny wpływa na bezpieczeństwo po stronie klienta i jak tworzyć bezpieczny kod. - Pisz bezpieczne skrypty CGI.
Poznaj zalety skryptów CGI i opanuj zasady tworzenia bezpiecznych skryptów. - Naucz się efektywnie śledzić wykonanie programu.
Dowiedz się, jak analizować wykonanie programu, by wykryć jego słabe punkty. - Zabezpiecz swoje aplikacje.
Opanuj podstawy PKI i zobacz, jak zastosować je w aplikacjach WWW. - Bezpieczne ActiveX.
Poznaj metodologię tworzenia bezpiecznych kontrolek ActiveX. - Zabezpiecz swój kod.
Dowiedz się, jak pisać bezpieczny kod w XML-u, ColdFusion, Javie i innych językach! - Pracuj zgodnie z planem bezpieczeństwa.
Postępuj zgodnie z wytycznymi dotyczącymi analizy kodu i poznaj jego słabe punkty.
- Najlepsze zabezpieczania aplikacji WWW
- Zagadnienia bezpieczeństwa w projektowaniu
- Ostrzeżenia o niebezpieczeństwie
- Technologie XML, Java, ColdFusion oraz skrypty CGI.
- Witryny poświęcone hakerom
- Narzędzia i pułapki
- Pięć faz włamania
- Rodzaje ataków hakerskich
- Niezbędne etapy działania przy ocenie ryzyka
- Automatyczne narzędzia skanujące
Podziękowania (9)Współpracownicy (10)
Przedmowa (13)
Rozdział 1. Metodologia włamań (15)
- Wprowadzenie (15)
- Podstawowe terminy (16)
- Krótka historia hackingu (17)
- Hacking sieci telefonicznych (17)
- Hacking komputerowy (18)
- Co motywuje hakera? (20)
- Hacking etyczny a hacking złośliwy (20)
- Współpraca ze specjalistami ds. bezpieczeństwa (21)
- Współczesne rodzaje ataków (22)
- DoS (DDoS) (22)
- Hacking wirusowy (24)
- Kradzież (29)
- Zagrożenia bezpieczeństwa aplikacji WWW (32)
- Ukryta manipulacja (32)
- Zamiana parametrów (33)
- Zewnętrzne skrypty (33)
- Przepełnienie buforów (33)
- Zatrute cookies (34)
- Zapobieganie włamaniom poprzez przyjęcie postawy hakera (34)
- Podsumowanie (36)
- Skrót rozwiązań (37)
- Pytania i odpowiedzi (39)
- Wprowadzenie (41)
- Kim jest "maszynka do kodu"? (42)
- Postępując zgodnie z zasadami (45)
- Twórcze kodowanie (46)
- Zastanawiać się (48)
- Bezpieczeństwo z punktu widzenia "maszynki do kodu" (50)
- Programowanie w próżni (51)
- Tworzenie sprawnych i bezpiecznych aplikacji sieciowych (52)
- Przecież mój kod działa! (56)
- Podsumowanie (61)
- Skrót rozwiązań (62)
- Pytania i odpowiedzi (63)
- Wprowadzenie (65)
- Działanie ataków wykorzystujących kod przenośny (66)
- Ataki z wykorzystaniem przeglądarek (66)
- Ataki z wykorzystaniem programów pocztowych (67)
- Złośliwe skrypty lub makra (68)
- Identyfikacja popularnych form kodu przenośnego (68)
- Języki makropoleceń: Visual Basic for Applications (VBA) (69)
- JavaScript (74)
- VBScript (77)
- Aplety w Javie (79)
- Kontrolki ActiveX (82)
- Załączniki listów elektronicznych i pobrane pliki wykonywalne (86)
- Ochrona systemu przez atakami wykorzystującymi kod przenośny (89)
- Aplikacje bezpieczeństwa (90)
- Narzędzia na stronach WWW (93)
- Podsumowanie (93)
- Skrót rozwiązań (95)
- Pytania i odpowiedzi (95)
- Wprowadzenie (97)
- Czym jest i co robi skrypt CGI? (98)
- Typowe zastosowania skryptów CGI (99)
- Kiedy powinno się stosować CGI? (103)
- Zagadnienia związane z instalacją skryptów CGI (104)
- Włamania umożliwione przez słabe skrypty CGI (105)
- Jak pisać bardziej szczelne skrypty CGI? (106)
- Polecenia katalogów (108)
- Opakowania skryptów CGI (109)
- Języki wykorzystywane do tworzenia skryptów CGI (112)
- Powłoka systemu Unix (113)
- Perl (113)
- C (C++) (114)
- Visual Basic (114)
- Korzyści ze stosowania skryptów CGI (115)
- Zasady tworzenia bezpiecznych skryptów CGI (115)
- Składowanie skryptów CGI (118)
- Podsumowanie (120)
- Skrót rozwiązań (120)
- Pytania i odpowiedzi (123)
- Wprowadzenie (125)
- Cele hakera (126)
- Omijanie alarmów (127)
- Zdobywanie dostępu (128)
- Zniszczenia, zniszczenia, zniszczenia (130)
- Jak być lepszym od hakera (131)
- Pięć etapów włamania (132)
- Tworzenie planu ataku (132)
- Tworzenie planu przebiegu włamania (134)
- Wybranie punktu wejścia (135)
- Stały i szeroki dostęp (136)
- Atak (137)
- Socjotechnika (138)
- Informacje poufne (138)
- Celowo pozostawione tylne wejścia (143)
- Wprowadzenie do kodu ukrytego hasła (143)
- Wykorzystanie słabych stron właściwych kodowi lub środowisku programowania (145)
- Narzędzia wykorzystywane przez hakera (145)
- Edytory szesnastkowe (145)
- Programy uruchomieniowe (147)
- Deasemblery (148)
- Podsumowanie (150)
- Skrót rozwiązań (150)
- Pytania i odpowiedzi (153)
- Wprowadzenie (155)
- Jak efektywnie śledzić działanie programu (156)
- Monitorowanie i kontrola w wybranych językach programowania (158)
- Java (158)
- Java Server Pages (159)
- Active Server Pages (159)
- Server Side Includes (159)
- Python (159)
- Tool Command Language (160)
- Practical Extraction and Reporting Language (160)
- PHP: Hypertext Preprocessor (160)
- C (C++) (160)
- ColdFusion (161)
- Lokalizacja słabych punktów (161)
- Pobieranie danych od użytkownika (161)
- Lokalizacja potencjalnych błędów przepełnienia buforów (162)
- Weryfikacja wyświetlanych informacji (165)
- Kontrola operacji na systemie plików (168)
- Uruchamianie zewnętrznego kodu i programów (170)
- Zapytania do baz danych SQL (172)
- Sieci i strumienie komunikacyjne (174)
- Praktyka (175)
- Podsumowanie (176)
- Skrót rozwiązań (176)
- Pytania i odpowiedzi (177)
- Wprowadzenie (179)
- Architektura bezpieczeństwa Javy (180)
- Model bezpieczeństwa w języku Java (181)
- Piaskownica (183)
- Podejście do problemów bezpieczeństwa w Javie (187)
- Programy ładujące klasy (187)
- Weryfikator bajt-kodu (190)
- Chronione domeny Javy (194)
- Potencjalne luki bezpieczeństwa w Javie (201)
- Ataki DoS (degradacji usług) (202)
- Konie trojańskie (204)
- Programowanie funkcjonalnych, ale bezpiecznych apletów w Javie (205)
- Skróty wiadomości (206)
- Podpisy cyfrowe (208)
- Uwierzytelnianie (214)
- Ochrona zabezpieczeń za pomocą podpisywania plików JAR (220)
- Szyfrowanie (223)
- Zalecenia Sun Microsystems odnośnie bezpieczeństwa w Javie (227)
- Podsumowanie (230)
- Skrót rozwiązań (231)
- Pytania i odpowiedzi (232)
- Wprowadzenie (235)
- Definicja języka XML (236)
- Struktura logiczna (237)
- Elementy (237)
- Dokumenty XML, XSL i DTD (240)
- Zastosowanie szablonów w języku XSL (240)
- Zastosowanie wzorów w języku XSL (241)
- DTD (243)
- Wykorzystanie języka XML do tworzenia aplikacji WWW (245)
- Ryzyko związane z językiem XML (247)
- Problemy tajności (248)
- Bezpieczeństwo w języku XML (249)
- Specyfikacja XML Encryption (250)
- Specyfikacja XML Digital Signatures (254)
- Podsumowanie (256)
- Skrót rozwiązań (257)
- Pytania i odpowiedzi (258)
- Wprowadzenie (259)
- Zagrożenia związane z technologią ActiveX (260)
- Unikanie typowych luk bezpieczeństwa w kontrolkach ActiveX (262)
- Usuwanie skutków luk w technologii ActiveX (264)
- Metodologia tworzenia bezpiecznych kontrolek ActiveX (267)
- Parametry bezpieczeństwa obiektu (267)
- Bezpieczne kontrolki ActiveX (268)
- Podpisywanie kontrolek (268)
- Znakowanie kontrolek (271)
- Podsumowanie (276)
- Skrót rozwiązań (276)
- Pytania i odpowiedzi (278)
- Wprowadzenie (281)
- Jak działa ColdFusion? (282)
- Zalety szybkiego projektowania (283)
- Zarys znacznikowego języka ColdFusion (284)
- Zachowanie bezpieczeństwa w technologii ColdFusion (286)
- Projektowanie z uwzględnieniem bezpieczeństwa (288)
- Bezpieczne rozpowszechnianie (297)
- Przetwarzanie w aplikacjach ColdFusion (297)
- Sprawdzanie istnienia danych (298)
- Kontrola typów danych (299)
- Szacowanie danych (301)
- Ryzyko związane z technologią ColdFusion (302)
- Zastosowanie programów obsługi błędów (304)
- Stosowanie śledzenia sesji (308)
- Podsumowanie (309)
- Skrót rozwiązań (310)
- Pytania i odpowiedzi (311)
- Wprowadzenie (313)
- Zalety stosowania aplikacji spełniających wymogi bezpieczeństwa (314)
- Rodzaje zabezpieczeń stosowanych w aplikacjach (315)
- Podpisy elektroniczne (316)
- Pretty Good Privacy (317)
- Protokół S/MIME (319)
- Secure Sockets Layer (319)
- Certyfikaty cyfrowe (323)
- Podstawowe informacje na temat PKI (325)
- Usługi certyfikujące (327)
- Zastosowanie PKI do zabezpieczania aplikacji WWW (328)
- Implementacja PKI w infrastrukturze WWW (329)
- Microsoft Certificate Services (330)
- Netscape Certificate Server (333)
- PKI dla Serwera Apache (339)
- PKI i Secure Software Toolkits (341)
- Testowanie zabezpieczeń (341)
- Podsumowanie (343)
- Skrót rozwiązań (345)
- Pytania i odpowiedzi (347)
- Wprowadzenie (349)
- Analiza kodu (350)
- Sprawdzanie kodu (351)
- Perspektywa współpracownika (352)
- Świadomość słabych punktów kodu (354)
- Testy, testy, testy (355)
- Rozsądek podczas kodowania (357)
- Planowanie (357)
- Standardy kodowania (358)
- Narzędzia (359)
- Tworzenie planu bezpieczeństwa (362)
- Planowanie bezpieczeństwa na poziomie sieci (364)
- Planowanie bezpieczeństwa na poziomie aplikacji (364)
- Planowanie bezpieczeństwa na poziomie biura (365)
- Proces bezpieczeństwa aplikacji WWW (365)
- Podsumowanie (367)
- Skrót rozwiązań (368)
- Pytania i odpowiedzi (369)
Skorowidz (389)