Грокаем безопасность веб-приложений

Предисловие
Введение
Благодарности
Об этой книге
Для кого эта книга
Структура книги
О коде в книге
Форум liveBook
Об авторе
От издательства
О научном редакторе русского издания
ЧАСТЬ 1
Глава 1. Врага нужно знать в лицо
Как (и почему) нападают хакеры
Преодоление последствий взлома
Насколько нужно включать паранойю
В какой момент начинать себя защищать
Подведем итоги
Глава 2. Безопасный браузер
Из чего состоит веб-браузер
Песочница JavaScript
Доступ к диску
Cookies
Межсайтовое отслеживание (cross-site tracking)
Подведем итоги
Глава 3. Шифрование
Принципы шифрования
Ключи шифрования
Шифрование при передаче
Шифрование в состоянии покоя
Проверка целостности
Подведем итоги
Глава 4. Безопасность веб-сервера
Валидация вводимых данных
Экранирование выходных данных
Работа с ресурсами
REST
Глубокая защита
Принцип минимальных привилегий
Подведем итоги
Глава 5. Безопасность как процесс
Принцип четырех глаз
Применение принципа минимальных привилегий к процессам
Автоматизируйте все подряд
Не изобретайте велосипед
Храните журналы аудита
Безопасное написание кода
Средства самообороны
Признавайте ошибки
Подведем итоги
ЧАСТЬ 2
Глава 6. Уязвимости браузера
Межсайтовый скриптинг
Межсайтовая подделка запроса
Кликджекинг
Внедрение межсайтовых скриптов
Подведем итоги
Глава 7. Сетевые уязвимости
Уязвимости «монстр посередине»
Уязвимости ложного направления (misdirection)
Компрометация сертификатов
Краденые ключи
Подведем итоги
Глава 8. Уязвимости аутентификации
Атаки методом перебора
Технология единого входа
Повышение надежности аутентификации
Многофакторная аутентификация
Биометрия
Хранение учетных данных
Перечисление пользователей
Подведем итоги
Глава 9. Уязвимости сессий
Как работают сессии
Перехват сессий
Подмена сессии
Подведем итоги
Глава 10. Уязвимости авторизации
Моделирование авторизации
Проектирование авторизации
Реализация контроля доступа
Тестирование авторизации
Выявление распространенных недочетов авторизации
Подведем итоги
Глава 11. Уязвимости полезных данных
Атаки десериализации
Уязвимости XML
Уязвимости загрузки файлов
Обход пути
Массовое присваивание
Подведем итоги
Глава 12. Уязвимости внедрения
Удаленное выполнение кода
SQL-инъекция
NoSQL-инъекции
LDAP-инъекция
Внедрение команд
Внедрение CRLF
Внедрение регулярных выражений
Подведем итоги
Глава 13. Уязвимости в стороннем коде
Зависимости
Далее вниз по стеку
Утечка информации
Небезопасная конфигурация
Подведем итоги
Глава 14. Быть невольным соучастником
Подделка запросов на стороне сервера
Спуфинг электронной почты
Открытые редиректы
Подведем итоги
Глава 15. Что делать если вас взломали
Как узнать что вас взломали
Пресечение атаки
А что собственно произошло?
Как не допустить повторной атаки
Сообщение пользователям подробностей об инциденте
Снижение риска в будущем
Подведем итоги

Безопасность приложений — приоритетная задача для веб-разработчиков. Вы работаете над интерфейсом фронтенд-фреймворка? Разрабатываете серверную часть? В любом случае вам придется разбираться с угрозами и уязвимостями и понимать, как закрыть дырки, через которые хотят пролезть черные хакеры.
Здесь вы найдете все, что нужно практикующему разработчику для защиты приложений как в браузере, так и на сервере. Проверенные на практике методы применимы к любому стеку и проиллюстрированы конкретными примерами из обширного опыта автора. Вы освоите обязательные принципы безопасности и даже узнаете о методах и инструментах, которые используют злоумышленники для взлома систем.

Книга подойдет всем, кто пишет веб-приложения и хотел бы узнать больше об их безопасности. Это касается как начинающих программистов, которые только приступают к исследованию этого вопроса, так и опытных специалистов, желающих освежить свои знания.