Bezpieczeństwo aplikacji webowych

Michał Bentkowski,

Artur Czyż,

Rafał Janicki,

Jarosław Kamiński,

Adrian Michalczyk,

Mateusz Niezabitowski,

Marcin Piosek,

Michał Sajdak,

more…

3.64 · Rating details · 25 ratings · 4 reviews

Książka (zobacz spis treści) jest pierwszym tego typu projektem na polskim rynku. W jednym tomie zebrano informacje o problemach bezpieczeństwa aplikacji webowych. Autorami tekstów są polscy pentesterzy i badacze rozpoznawalni na najważniejszych konferencjach i publikujący na łamach branżowych periodyków i portali. Wyczerpująco, klarownie i z przywołaniem aktualnego stanu ...more

Get A Copy

Paperback, 800 pages

Published December 2019 by Sekurak

More Details... Edit Details

Friend Reviews

To see what your friends thought of this book, please sign up.

Reader Q&A

To ask other readers questions about Bezpieczeństwo aplikacji webowych, please sign up.

Be the first to ask a question about Bezpieczeństwo aplikacji webowych

Lists with This Book

This book is not yet featured on Listopia. Add this book to your favorite list »

Community Reviews

Showing 1-54

Average rating 3.64 ·

Rating details

· 25 ratings · 4 reviews

More filters

Sort order

Start your review of Bezpieczeństwo aplikacji webowych

Jun 04, 2020 Jakub rated it it was ok

Książka polska, recenzja więc też.

Recenzja tyczy się traści, osoby które ją napisały, są specjalistami w swojej dziedzinie. Także są to moje własne odczucia jeżeli chodzi o treść.

Pierwszy problem jaki mam z tą książką to, to, że to nie książka a zbiór blog postów. Jak nie mam nic przeciwko faktowi, że to blog posty, to jednak w książce widać, że poziom się różni, zarówno opisu jak i szczegółowości.

trafiają się rozdziały które mają być dla laików a nagle w połowie rozdziału poziom z 100 skacze na ...more

flag 2 likes · Like · see review

Feb 21, 2021 Kerszi rated it really liked it

Z tego, co się domyślam, to ta książka powstawała w bólach, przynajmniej w wersji elektronicznej. Jednak wyczekując na wersje elektroniczną, która miała się niebawem pokazać, czekałem 2 lata, i nie wytrzymałem dłużej. Kupiłem ten gruby papierowy tom. Jak na złość chwilę potem wyszła wersja elektroniczna w formatach: pdf, epub, zaś na końcu w mobi. Mam Kindle, więc ten ostatni format mnie zainteresował. Czytać się oczywiście da, obrazki dobrze widać, jednak nie ma formatowania z prawej do lewej i Z tego, co się domyślam, to ta książka powstawała w bólach, przynajmniej w wersji elektronicznej. Jednak wyczekując na wersje elektroniczną, która miała się niebawem pokazać, czekałem 2 lata, i nie wytrzymałem dłużej. Kupiłem ten gruby papierowy tom. Jak na złość chwilę potem wyszła wersja elektroniczna w formatach: pdf, epub, zaś na końcu w mobi. Mam Kindle, więc ten ostatni format mnie zainteresował. Czytać się oczywiście da, obrazki dobrze widać, jednak nie ma formatowania z prawej do lewej i parę rozdziałów w tym podatność xss (ramk) jest tragicznie sformatowana. Nie wiem, czy autorzy sprawdzili wszystkie kody źródłowe zamieszczone w tomie, ale w paru miejscach był błąd (tak, przepisałem kod źródłowy - scenarios.html, bo w necie nie było (nie domknięty nawias)). Być może, gdzieś jeszcze był błąd, ale to mało istotne. Fajnie by było jakby te kody były gdzieś zamieszczone dla czytelników. Były też zarzuty, że rozdziały w książce to zrzynka z bloga/strony Sekuraka. To akurat nie ma znaczenia, liczy się treść. A treści jest bardzo dużo. Na pewno więcej, niż w jakiejkolwiek pozycji z serii Kali. Jeżeli coś znajdziecie w tych książkach, to w "Bezpieczeństwie aplikacji webowych" będzie to bardziej rozwinięte. Nie do końca podobało mi się ułożenie rozdziałów. Ogólnie serializacja była wcześniej wspomniana, zaś rozdziały z nią były na samym końcu. I to aż w 3-4 językach, Python, Java, Net i coś jeszcze. Następny plus idzie za lekką odskocznie od metod hakingu, czyli Bug Bounty i aspekty prawne. Potrzebne to tu było. Niestety denerwowały mnie w książce anglicyzmy. Ja rozumiem, że autorzy stykają się z tym językiem na co dzień, ale litości! To jest książka dla polskich czytelników. "Enkodowanie" można jeszcze od biedy wybaczyć, chociaż jest odpowiednik polski, ale sformułowania typu: "consent screen", "obfuskacja", "Chief architect", "błąd jest spoza scope" są po prostu niewybaczalne. Być może "obfuskacja" - zaciemnianie kodu, wejdzie do polskiego języka, ale dobrze byłoby to opisać. Ogólnie polecam. Wersja elektroniczna ma chyba jeden rozdział więcej. ...more

flag 1 like · Like · see review

Nov 29, 2020 Bartłomiej Falkowski rated it liked it

Bardzo pociągający spis treści oraz marka Sekuraka skusiły mnie do zakupu tej książki w pierwszych dniach sprzedaży. W końcu zebrałem się do przeczytania i moje wrażenia są co najmniej średnie.

Co mi się podobało:
- tak jak już wspomniałem - spis treści. Zakres poruszanych tematów jest bardzo szeroki - od klasycznych podatności typu CSRF czy XSS po duże zagadnienia bezpieczeństwa OAuth 2.0 czy REST API. Jest nawet pełen pakiet podatności przy deserializacji danych w .NET, Java, PHP, Python. Można Bardzo pociągający spis treści oraz marka Sekuraka skusiły mnie do zakupu tej książki w pierwszych dniach sprzedaży. W końcu zebrałem się do przeczytania i moje wrażenia są co najmniej średnie.

Co mi się podobało:
- tak jak już wspomniałem - spis treści. Zakres poruszanych tematów jest bardzo szeroki - od klasycznych podatności typu CSRF czy XSS po duże zagadnienia bezpieczeństwa OAuth 2.0 czy REST API. Jest nawet pełen pakiet podatności przy deserializacji danych w .NET, Java, PHP, Python. Można więc powiedzieć, że pod kątem poruszanych tematów jest to faktycznie pełen przekrój bezpieczeństwa aplikacji webowych
- niektóre rozdziały były naprawdę świetne. Zazwyczaj dotyczyły wąskiej, konkretnej dziedziny, np. Same Site Origin Policy czy CSP
- książka jest ładnie wydana :) Fajny papier i czcionka, kolorowe zdjęcia / screeny (nie jest to częste w książkach IT!)

Co mi się nie podobało:
- brak standardu / formy prowadzenia książki. Niektóre rozdziały bazowały na stronach przygotowanych w domenie *.sekurak.pl, a niektóre na localhost autora czy nawet example.com itd. Cześć przykładów jest dostępna na github autora, cześć na stronie sekuraka a część nie jest dostępna w ogóle.
- zupełnie różne style autorów. Zrozumiałym jest, że każdy ma własny pomysł na opisanie danego problemu, ale ostatecznie jest to jedna książka. Czytając ma się wrażenie, że każdy rozdział jest wyrwany z innej publikacji. Wydaje mi się, że pomysł na 10 (!) autorów jednej książki po prostu nie wypalił.
- bardzo mało opisu podatności jest przekazana w formie praktycznej. W jednym z pierwszych rozdziałów jest kilka ćwiczeń do wykonania i na tym koniec. W większości przypadków jest to opis artykułów stworzonych przez inne osoby. Liczyłem na dużo więcej praktyki.
- szeroki zakres tematów powoduje również to, że niektóre z nich potraktowane są nieco pobieżnie.

Podsumowując, sam pomysł na książkę świetny. Do wyższej oceny zabrakło głownie spójności i dobrego zredagowania całości.
...more

flag Like · see review