Web Application Obfuscation: '-/WAFs..Evasion..Filters//alert(/Obfuscation/)-'
Autor Mario Heiderich, Eduardo Alberto Vela Nava, Gareth Heyes, David Lindsayen Limba Engleză Paperback – 13 ian 2011
Găsim în această carte un exercițiu tehnic remarcabil încă din primele pagini: utilizarea JavaScript-ului non-alfanumeric pentru a executa cod arbitrar, o metodă care demonstrează cum barierele clasice de filtrare pot fi complet neutralizate prin creativitate sintactică. Web Application Obfuscation nu este un manual teoretic, ci o incursiune aplicată în mecanismele de evaziune pe care atacatorii le folosesc pentru a transforma un singur vector de atac în milioane de variante nedetectabile de către sistemele automate.
Apreciem rigoarea cu care autorii, printre care se numără Mario Heiderich și Gareth Heyes, descompun infrastructura web. Structura progresivă a volumului ne conduce de la elementele fundamentale de HTML și CSS, până la complexitățile PHP și SQL, culminând cu analiza barierelor de tip Web Application Firewalls (WAF). Un aspect distinctiv față de literatura standard este focalizarea pe 'browser quirks' — acele comportamente specifice și adesea documentate insuficient ale motoarelor de randare, care permit bypass-ul filtrelor client-side. Cititorul care a aplicat strategiile defensive din The Web Application Hacker's Handbook sau a studiat vulnerabilitățile din Seven Deadliest Web Application Attacks va găsi aici nivelul următor de profunzime: nu doar cum funcționează un atac, ci cum poate fi acesta 'împachetat' pentru a deveni invizibil.
Tonul este unul pur tehnic, axat pe specificații și implementări concrete. Cartea demonstrează cum însuși procesul de securizare și implementarea unor controale stricte pot introduce noi suprafețe de atac. Este o resursă esențială pentru a înțelege de ce filtrele bazate pe liste negre sunt sortite eșecului în fața tehnicilor avansate de obfuscare prezentate.
Preț: 231.61 lei
Preț vechi: 273.95 lei
-15%
Carte tipărită la comandă
Livrare economică 21 mai-04 iunie
Specificații
ISBN-10: 1597496049
Pagini: 296
Ilustrații: 25 illustrations
Dimensiuni: 191 x 235 x 23 mm
Greutate: 0.6 kg
Editura: ELSEVIER SCIENCE
V-ar putea interesa
-
The Shellcoder's HandbookChris Anley-20%Preț: 215.91 lei269.89 lei -
The Web Application Hacker's HandbookDafydd Stuttard-20%Preț: 284.70 lei355.88 lei -
Security EngineeringRoss Anderson-20%Preț: 374.36 lei467.95 lei -
Alice and Bob Learn Application SecurityTanya Janca-20%Preț: 241.52 lei301.91 lei -
ThreatsAdam Shostack-20%Preț: 110.50 lei138.13 lei -
-29%Preț: 258.43 lei366.42 lei -
Alice and Bob Learn Secure CodingTanya Janca-20%Preț: 235.21 lei294.02 lei -
-20%Preț: 281.90 lei352.37 lei -
Pro ASP.NET 4.5 in CAdam Freeman-20%Preț: 368.06 lei460.08 lei -
-20%Preț: 302.24 lei377.80 lei -
Hacking: The Art of Exploitation, 2nd EditionJon Erickson-36%Preț: 239.83 lei376.40 lei -
Attacking Network ProtocolsJames Forshaw-37%Preț: 265.18 lei419.59 lei -
Real-World Bug Hunting: A Field Guide to Web HackingPeter Yaworski-20%Preț: 191.79 lei239.73 lei -
Web Security for Developers: Real Threats, Practical DefenseMalcolm Mcdonald-41%Preț: 132.10 lei222.97 lei -
Spring Security in ActionLaurentiu Spilca-20%Preț: 379.66 lei474.58 lei -
Grokking Web Application SecurityMalcolm McDonald-20%Preț: 317.62 lei397.02 lei -
-38%Preț: 165.52 lei267.32 lei -
-36%Preț: 337.21 lei526.40 lei -
Metasploit, 2nd EditionDavid Kennedy-20%Preț: 274.99 lei343.74 lei -
-37%Preț: 329.07 lei520.23 lei
Public țintă
Penetration testers, security consultants; IDS Developers; Security Tool Developers; WAF Implementers and Maintainers; Web Developers; and Sys/Net AdminsDe ce să citești această carte
Recomandăm această carte profesioniștilor în securitate cibernetică și dezvoltatorilor care doresc să înțeleagă limitările reale ale soluțiilor de tip WAF și IDS. Veți câștiga o perspectivă tehnică asupra modului în care sintaxa și particularitățile browserelor pot fi exploatate pentru a eluda filtrele, oferindu-vă instrumentele necesare pentru a construi apărări mult mai reziliente împotriva atacurilor de tip XSS și SQL injection.
Despre autor
Echipa de autori reunește unii dintre cei mai respectați cercetători în securitate web la nivel global. Mario Heiderich este cunoscut pentru cercetările sale de pionierat în securitatea client-side și vectorii de atac XSS. Gareth Heyes este un expert recunoscut în identificarea vulnerabilităților în browsere și tehnici de evaziune, fiind o prezență constantă la conferințele de profil. Eduardo Alberto Vela Nava și David Lindsay completează acest colectiv, aducând expertiză vastă în testarea de penetrare și dezvoltarea de instrumente de securitate, transformând această lucrare într-o referință tehnică pentru industria de profil.
Descriere scurtă
- Named a 2011 Best Hacking and Pen Testing Book by InfoSec Reviews
- Looks at security tools like IDS/IPS that are often the only defense in protecting sensitive data and assets
- Evaluates Web application vulnerabilties from the attacker's perspective and explains how these very systems introduce new types of vulnerabilities
- Teaches how to secure your data, including info on browser quirks, new attacks and syntax tricks to add to your defenses against XSS, SQL injection, and more
Cuprins
Chapter 2: HTML
Chapter 3: JavaScript and VBScript
Chapter 4: Nonalphanumeric JavaScript
Chapter 5: CSS
Chapter 6: PHP
Chapter 7: SQL
Chapter 8: Web Application Firewalls and Client-side Filters
Chapter 9: Mitigating Bypasses and Attacks
Chapter 10: Future Developments
Recenzii
"Intended for advanced network security administrators, penetration testers and web application developers, this guide to web obfuscation presents an in depth technical discussion of the latest methods in site intrusion and Internet attacks. Chapters examine state of the art obfuscation attacks on major website components such as HTML, JavaScript and VBScript, CSS, PHP, SQL and web application firewalls. A final chapter discusses future problems such as the new HTML 5 standards and plug-in vulnerabilities. Chapters include numerous code examples in a variety of languages and formats. Heiderich is a web developer, Nava is a security researcher for Google, Heyes is a security contractor and Lindsay is a security consultant."--SciTechBookNews
"This is a very frightening book and I would advise any security architect to purchase a copy. It’s aimed at the bleeding edge of the technical security market, however, it really does hammer home how difficult security can become when faced with complex applications and protocols. The techniques used in the book are not trivial, but they do show us that the age of the firewall and the IDS may well be over, and the age of security by design has only just begun."--InfoSecReviews.com
"This is a deep technical read and anyone buying it should have a solid understanding of web technologies and some experience of web programming. I would say it is targeted at penetration testers and security architects, but to the security generalist it also opens up new frontiers when it comes to designing for security."--Best Hacking and Pen Testing Books in InfoSecReviews Book Awards