Książka (zobacz spis treści) jest pierwszym tego typu projektem na polskim rynku. W jednym tomie zebrano informacje o problemach bezpieczeństwa aplikacji webowych. Autorami tekstów są polscy pentesterzy i badacze rozpoznawalni na najważniejszych konferencjach i publikujący na łamach branżowych periodyków i portali. Wyczerpująco, klarownie i z przywołaniem aktualnego stanu wiedzy. Must have każdego, kto poważnie myśli o bezpieczeństwie aplikacji. Książka jest dostępna obecnie tylko w przedsprzedaży (początek wysyłki - około początku grudnia 2019r).
Parametry: około 800 stron, ponad 280 ilustracji, kolor. Waga: około 1400 gramów. Oprawa zintegrowana.
Uwaga: Książka dostępna jest obecnie jedynie w przedsprzedaży (preorder). Cena w sprzedaży standardowej będzie wyższa. Początek wysyłki - około początku grudnia 2019r. W momencie wysyłki generowany będzie automatycznie e-mail ze stosowną informacją.
Chciałbyś wesprzeć sekuraka i nabyć wersję exclusive książki (z podpisami kilku autorów)? Mamy taką opcję :-)
Potrzebujesz wysyłki zagranicznej? Napisz do nas: sklep@securitum.pl.
Spis treści.
Wstęp.
Przedmowa [Gynvael Coldwind] Prawne aspekty ofensywnego bezpieczeństwa IT [Bohdan Widła] Podstawy protokołu HTTP [do bezpłatnego pobrania w PDF] [Michał Sajdak] Burp Suite Community Edition - wprowadzenie do obsługi proxy HTTP [Marcin Piosek] Protokół HTTP/2 – czyli szybciej, ale czy również bezpieczniej? [Michał Sajdak] Nagłówki HTTP w kontekście bezpieczeństwa [Artur Czyż] Chrome DevTools w służbie bezpieczeństwa aplikacji webowych [Rafał Janicki] Bezpieczeństwo haseł statycznych [Adrian Michalczyk]
Rekonesans
Rekonesans aplikacji webowych (poszukiwanie celów) [Michał Sajdak] Ukryte katalogi i pliki jako źródło informacji o aplikacjach internetowych [Rafał Janicki]
Uwierzytelnianie, zarządzanie sesją, autoryzacja [Marcin Piosek] Pułapki w przetwarzaniu plików XML [Michał Bentkowski] Bezpieczeństwo API REST [Michał Sajdak] Niebezpieczeństwa JSON Web Token (JWT) [Michał Sajdak] Zalety i wady OAuth 2.0 z perspektywy bezpieczeństwa [Marcin Piosek] Bezpieczeństwo protokołu WebSocket [Marcin Piosek] Wprowadzenie do programów Bug Bounty [Jarosław Kamiński] Flaga SameSite - jak działa i przed czym zapewnia ochronę? [Marcin Piosek]
Deserializacja
Niebezpieczeństwa deserializacji w PHP [Michał Bentkowski] Niebezpieczeństwa deserializacji w Pythonie (moduł pickle) [Michał Bentkowski] Niebezpieczeństwa deserializacji w .NET [Grzegorz Trawiński] Niebezpieczeństwa deserializacji w Javie [Mateusz Niezabitowski]
Recenzja tyczy się traści, osoby które ją napisały, są specjalistami w swojej dziedzinie. Także są to moje własne odczucia jeżeli chodzi o treść.
Pierwszy problem jaki mam z tą książką to, to, że to nie książka a zbiór blog postów. Jak nie mam nic przeciwko faktowi, że to blog posty, to jednak w książce widać, że poziom się różni, zarówno opisu jak i szczegółowości.
trafiają się rozdziały które mają być dla laików a nagle w połowie rozdziału poziom z 100 skacze na 400 po to by wejść na 200 zaraz po tym. Bardzo często by coś z książki wyciągnać trzeba czytać zalinowane linki - po co? po to, żeby przeczeytać o co chodzi bo w książce nie udało się tego wytłumaczyć, lub po prostu książka to pominęła.
W treści znajdują się naprwadę rzeczy, o których warto wiedzieć, jednak są tak przekazane, że momentami się człowiek gubi.
Nie licząc nie równego poziomu w treści jednego rozdziału, to także jest nierówny poziom pomiędzy rozdziałami. Brak mi jest podziału: red team, blue team. Nalge od czapy trochę rozdział o wykrywaniu pod domen. Niby fajnie, że tam jest... ale do czego on nawiązuje? Jak to się trzyma całości?
Same blog posty bym ocenił pewnie na 4 jako blog posty, i z chęcią bym je w takiej formie przeczytał. Forma książkowa jednak lóźno powiązanych rozdziałów i treści... dla mnie jest słaba. Do tego, że nawet prowadziłem dyskusję z innymi by się dowiedzieć co autor miał na myśli i czemu pisze o tym case.
Bardzo pociągający spis treści oraz marka Sekuraka skusiły mnie do zakupu tej książki w pierwszych dniach sprzedaży. W końcu zebrałem się do przeczytania i moje wrażenia są co najmniej średnie.
Co mi się podobało: - tak jak już wspomniałem - spis treści. Zakres poruszanych tematów jest bardzo szeroki - od klasycznych podatności typu CSRF czy XSS po duże zagadnienia bezpieczeństwa OAuth 2.0 czy REST API. Jest nawet pełen pakiet podatności przy deserializacji danych w .NET, Java, PHP, Python. Można więc powiedzieć, że pod kątem poruszanych tematów jest to faktycznie pełen przekrój bezpieczeństwa aplikacji webowych - niektóre rozdziały były naprawdę świetne. Zazwyczaj dotyczyły wąskiej, konkretnej dziedziny, np. Same Site Origin Policy czy CSP - książka jest ładnie wydana :) Fajny papier i czcionka, kolorowe zdjęcia / screeny (nie jest to częste w książkach IT!)
Co mi się nie podobało: - brak standardu / formy prowadzenia książki. Niektóre rozdziały bazowały na stronach przygotowanych w domenie *.sekurak.pl, a niektóre na localhost autora czy nawet example.com itd. Cześć przykładów jest dostępna na github autora, cześć na stronie sekuraka a część nie jest dostępna w ogóle. - zupełnie różne style autorów. Zrozumiałym jest, że każdy ma własny pomysł na opisanie danego problemu, ale ostatecznie jest to jedna książka. Czytając ma się wrażenie, że każdy rozdział jest wyrwany z innej publikacji. Wydaje mi się, że pomysł na 10 (!) autorów jednej książki po prostu nie wypalił. - bardzo mało opisu podatności jest przekazana w formie praktycznej. W jednym z pierwszych rozdziałów jest kilka ćwiczeń do wykonania i na tym koniec. W większości przypadków jest to opis artykułów stworzonych przez inne osoby. Liczyłem na dużo więcej praktyki. - szeroki zakres tematów powoduje również to, że niektóre z nich potraktowane są nieco pobieżnie.
Podsumowując, sam pomysł na książkę świetny. Do wyższej oceny zabrakło głownie spójności i dobrego zredagowania całości.
Z tego, co się domyślam, to ta książka powstawała w bólach, przynajmniej w wersji elektronicznej. Jednak wyczekując na wersje elektroniczną, która miała się niebawem pokazać, czekałem 2 lata, i nie wytrzymałem dłużej. Kupiłem ten gruby papierowy tom. Jak na złość chwilę potem wyszła wersja elektroniczna w formatach: pdf, epub, zaś na końcu w mobi. Mam Kindle, więc ten ostatni format mnie zainteresował. Czytać się oczywiście da, obrazki dobrze widać, jednak nie ma formatowania z prawej do lewej i parę rozdziałów w tym podatność xss (ramk) jest tragicznie sformatowana. Nie wiem, czy autorzy sprawdzili wszystkie kody źródłowe zamieszczone w tomie, ale w paru miejscach był błąd (tak, przepisałem kod źródłowy - scenarios.html, bo w necie nie było (nie domknięty nawias)). Być może, gdzieś jeszcze był błąd, ale to mało istotne. Fajnie by było jakby te kody były gdzieś zamieszczone dla czytelników. Były też zarzuty, że rozdziały w książce to zrzynka z bloga/strony Sekuraka. To akurat nie ma znaczenia, liczy się treść. A treści jest bardzo dużo. Na pewno więcej, niż w jakiejkolwiek pozycji z serii Kali. Jeżeli coś znajdziecie w tych książkach, to w "Bezpieczeństwie aplikacji webowych" będzie to bardziej rozwinięte. Nie do końca podobało mi się ułożenie rozdziałów. Ogólnie serializacja była wcześniej wspomniana, zaś rozdziały z nią były na samym końcu. I to aż w 3-4 językach, Python, Java, Net i coś jeszcze. Następny plus idzie za lekką odskocznie od metod hakingu, czyli Bug Bounty i aspekty prawne. Potrzebne to tu było. Niestety denerwowały mnie w książce anglicyzmy. Ja rozumiem, że autorzy stykają się z tym językiem na co dzień, ale litości! To jest książka dla polskich czytelników. "Enkodowanie" można jeszcze od biedy wybaczyć, chociaż jest odpowiednik polski, ale sformułowania typu: "consent screen", "obfuskacja", "Chief architect", "błąd jest spoza scope" są po prostu niewybaczalne. Być może "obfuskacja" - zaciemnianie kodu, wejdzie do polskiego języka, ale dobrze byłoby to opisać. Ogólnie polecam. Wersja elektroniczna ma chyba jeden rozdział więcej.
It is a very good book, hard for n00bs though. You must be a developer or have a basic understanding of the topics listed in that book. At times it feels somewhat unbalanced and mixed - as the book has been written by a group of authors, the level of details & order of chapters is weird (at times). I skipped serialization chapters - Java and .Net, I have got no idea about those technologies as of now, haven't coded in Java. But the Python chapter on the pickle module is quite good (way too short though).
On top of that, I understand I might be a bad reviewer of this book, I am a non-native speaker so I had to virtually render the content & translate in my head when trying to understand. This might impact the level of understanding but I will definitely return to this book as soon as get into real bug hunting.
Overall, Sekurak is the best cybersec source in Poland, I loved their Sekurak Hacking parties back in Krakow - the guys presented some pretty wild things on site - like webcam hacking or SSTI's.
If you speak Polish & have some codding experience - you won't regret reading this piece of work.
Money well spent, really.
This entire review has been hidden because of spoilers.
W książce jest zawarte sporo wiedzy, jednak jej największą wadą jest chaos. Prawdopodobnie przez to, że każdy rodział pisany jest przez innego autora, informacje są bardzo niepoukładane, poziom trudności bardzo niewyrównany. Trudno jest konsumować tak heterogeniczną książkę w tradycyjny sposób ze względu na wrażenie, że czyta się posty na blogu (albo raczej wielu różnych).