Hack_Proofing_Your_Web_Applications_Edycja_polska_hpwebp.pdf
(
352 KB
)
Pobierz
C:\Andrzej\PDF\ABC nagrywania p³yt CD\1 strona.cdr
IDZ DO
PRZYK£ADOW
Y ROZDZIA£
Hack Proofing Your
SPIS TRECI
Web Applications.
KATALOG KSI¥¯EK
Edycja polska
Autorzy: Jeff Forristal, Julie Traxler
T³umaczenie: Miko³aj Barwicki
ISBN: 83-7361-006-5
Tytu³ orygina³
u:
Hack Proofing Your Web Applications
Format: B5, stron: 406
Przyk³ady na ftp: 22 kB
KATALOG ONLINE
ZAMÓW DRUKOWANY KATALOG
TWÓJ KOSZYK
DODAJ DO KOSZYKA
Wyczerpuj¹cy przewodnik wprowadzaj¹cy w arkana tworzenia bezpiecznych aplikacji
WWW. Twórca aplikacji WWW nie mo¿e sobie pozwoliæ na to, by jego dzie³a by³y
wra¿liwe na ataki hakerów.
Zacznij wiêc myleæ jak haker, a luki w bezpieczeñstwie natychmiast siê ujawni¹. Dziêki
tej ksi¹¿ce nauczysz siê analizowaæ metody stosowane do w³amañ i ataków na witryny
WWW. Bêdziesz móg³ nastêpnie wykorzystaæ tê wiedzê, by zapobiegaæ atakom.
W ksi¹¿ce omówiono m.in.:
• Najlepsze zabezpieczania aplikacji WWW
• Zagadnienia bezpieczeñstwa w projektowaniu
• Ostrze¿enia o niebezpieczeñstwie
• Technologie XML, Java, ColdFusion oraz skrypty CGI.
• Witryny powiêcone hakerom
• Narzêdzia i pu³apki
• Piêæ faz w³amania
• Rodzaje ataków hakerskich
• Niezbêdne etapy dzia³ania przy ocenie ryzyka
• Automatyczne narzêdzia skanuj¹ce
CENNIK I INFORMACJE
ZAMÓW INFORMACJE
O NOWOCIACH
ZAMÓW CENNIK
CZYTELNIA
FRAGMENTY KSI¥¯EK ONLINE
Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl
Spis treci
Podzikowania ...........................................................................................................9
Współpracownicy .....................................................................................................10
Przedmowa...............................................................................................................13
Rozdział 1. Metodologia włama ..............................................................................15
Wprowadzenie .............................................................................................................. 15
Podstawowe terminy................................................................................................ 16
Krótka historia hackingu ................................................................................................ 17
Hacking sieci telefonicznych .................................................................................... 17
Hacking komputerowy............................................................................................. 18
Co motywuje hakera?.................................................................................................... 20
Hacking etyczny a hacking zło(liwy.......................................................................... 20
Współpraca ze specjalistami ds. bezpiecze*stwa ........................................................ 21
Współczesne rodzaje ataków.......................................................................................... 22
DoS (DDoS) ........................................................................................................... 22
Hacking wirusowy................................................................................................... 24
Kradzie0 ................................................................................................................. 29
Zagro0enia bezpiecze*stwa aplikacji WWW.................................................................... 32
Ukryta manipulacja.................................................................................................. 32
Zamiana parametrów ............................................................................................... 33
Zewn5trzne skrypty ................................................................................................. 33
Przepełnienie buforów ............................................................................................. 33
Zatrute cookies........................................................................................................ 34
Zapobieganie włamaniom poprzez przyj5cie postawy hakera ............................................ 34
Podsumowanie.............................................................................................................. 36
Skrót rozwi6za* ............................................................................................................ 37
Pytania i odpowiedzi ..................................................................................................... 39
Rozdział 2. Jak nie zosta$ „maszynk& do kodu”?......................................................41
Wprowadzenie .............................................................................................................. 41
Kim jest „maszynka do kodu”? ...................................................................................... 42
Post5puj6c zgodnie z zasadami ................................................................................. 45
Twórcze kodowanie ...................................................................................................... 46
Zastanawia: si5 ....................................................................................................... 48
Bezpiecze*stwo z punktu widzenia „maszynki do kodu” .................................................. 50
Programowanie w pró0ni.......................................................................................... 51
Tworzenie sprawnych i bezpiecznych aplikacji sieciowych ............................................... 52
Przecie0 mój kod działa! .......................................................................................... 56
Podsumowanie.............................................................................................................. 61
Skrót rozwi6za* ............................................................................................................ 62
Pytania i odpowiedzi ..................................................................................................... 63
4
Hack Proofing Your Web Applications. Edycja polska
Rozdział 3. Ryzyko zwi&zane z kodem przeno+nym....................................................65
Wprowadzenie .............................................................................................................. 65
Działanie ataków wykorzystuj6cych kod przeno(ny ......................................................... 66
Ataki z wykorzystaniem przegl6darek ....................................................................... 66
Ataki z wykorzystaniem programów pocztowych ....................................................... 67
Zło(liwe skrypty lub makra ...................................................................................... 68
Identyfikacja popularnych form kodu przeno(nego........................................................... 68
J5zyki makropolece*: Visual Basic for Applications (VBA)........................................ 69
JavaScript ............................................................................................................... 74
VBScript ................................................................................................................ 77
Aplety w Javie ........................................................................................................ 79
Kontrolki ActiveX ................................................................................................... 82
Zał6czniki listów elektronicznych i pobrane pliki wykonywalne .................................. 86
Ochrona systemu przez atakami wykorzystuj6cymi kod przeno(ny .................................... 89
Aplikacje bezpiecze*stwa......................................................................................... 90
Narz5dzia na stronach WWW................................................................................... 93
Podsumowanie.............................................................................................................. 93
Skrót rozwi6za* ............................................................................................................ 95
Pytania i odpowiedzi ..................................................................................................... 95
Rozdział 4. Wra-liwe skrypty CGI.............................................................................97
Wprowadzenie .............................................................................................................. 97
Czym jest i co robi skrypt CGI? ..................................................................................... 98
Typowe zastosowania skryptów CGI ........................................................................ 99
Kiedy powinno si5 stosowa: CGI?.......................................................................... 103
Zagadnienia zwi6zane z instalacj6 skryptów CGI ..................................................... 104
Włamania umo0liwione przez słabe skrypty CGI ........................................................... 105
Jak pisa: bardziej szczelne skrypty CGI?................................................................. 106
Polecenia katalogów .............................................................................................. 108
Opakowania skryptów CGI .................................................................................... 109
J5zyki wykorzystywane do tworzenia skryptów CGI...................................................... 112
Powłoka systemu Unix........................................................................................... 113
Perl ...................................................................................................................... 113
C (C++)................................................................................................................ 114
Visual Basic.......................................................................................................... 114
Korzy(ci ze stosowania skryptów CGI .......................................................................... 115
Zasady tworzenia bezpiecznych skryptów CGI .............................................................. 115
Składowanie skryptów CGI.................................................................................... 118
Podsumowanie............................................................................................................ 120
Skrót rozwi6za* .......................................................................................................... 120
Pytania i odpowiedzi ................................................................................................... 123
Rozdział 5. Techniki i narzdzia włama .................................................................125
Wprowadzenie ............................................................................................................ 125
Cele hakera................................................................................................................. 126
Omijanie alarmów ................................................................................................. 127
Zdobywanie dost5pu.............................................................................................. 128
Zniszczenia, zniszczenia, zniszczenia ...................................................................... 130
Jak by: lepszym od hakera..................................................................................... 131
Pi5: etapów włamania ................................................................................................. 132
Tworzenie planu ataku........................................................................................... 132
Tworzenie planu przebiegu włamania...................................................................... 134
Wybranie punktu wej(cia ....................................................................................... 135
Stały i szeroki dost5p ............................................................................................. 136
Atak ..................................................................................................................... 137
Spis treci
5
Socjotechnika ............................................................................................................. 138
Informacje poufne ................................................................................................. 138
Celowo pozostawione tylne wej(cia .............................................................................. 143
Wprowadzenie do kodu ukrytego hasła.................................................................... 143
Wykorzystanie słabych stron wła(ciwych kodowi lub (rodowisku programowania ............ 145
Narz5dzia wykorzystywane przez hakera ...................................................................... 145
Edytory szesnastkowe............................................................................................ 145
Programy uruchomieniowe..................................................................................... 147
Deasemblery ......................................................................................................... 148
Podsumowanie............................................................................................................ 150
Skrót rozwi6za* .......................................................................................................... 150
Pytania i odpowiedzi ................................................................................................... 153
Rozdział 6. Kontrola kodu i odwrotna analiza..........................................................155
Wprowadzenie ............................................................................................................ 155
Jak efektywnie (ledzi: działanie programu .................................................................... 156
Monitorowanie i kontrola w wybranych j5zykach programowania ................................... 158
Java ..................................................................................................................... 158
Java Server Pages.................................................................................................. 159
Active Server Pages............................................................................................... 159
Server Side Includes .............................................................................................. 159
Python ................................................................................................................. 159
Tool Command Language ...................................................................................... 160
Practical Extraction and Reporting Language ........................................................... 160
PHP: Hypertext Preprocessor ................................................................................. 160
C (C++)................................................................................................................ 160
ColdFusion ........................................................................................................... 161
Lokalizacja słabych punktów........................................................................................ 161
Pobieranie danych od u0ytkownika ......................................................................... 161
Lokalizacja potencjalnych bł5dów przepełnienia buforów ......................................... 162
Weryfikacja wy(wietlanych informacji.................................................................... 165
Kontrola operacji na systemie plików ...................................................................... 168
Uruchamianie zewn5trznego kodu i programów ....................................................... 170
Zapytania do baz danych SQL................................................................................ 172
Sieci i strumienie komunikacyjne............................................................................ 174
Praktyka..................................................................................................................... 175
Podsumowanie............................................................................................................ 176
Skrót rozwi6za* .......................................................................................................... 176
Pytania i odpowiedzi ................................................................................................... 177
Rozdział 7. Bezpiecze stwo w jzyku Java .............................................................179
Wprowadzenie ............................................................................................................ 179
Architektura bezpiecze*stwa Javy................................................................................. 180
Model bezpiecze*stwa w j5zyku Java...................................................................... 181
Piaskownica.......................................................................................................... 183
Podej(cie do problemów bezpiecze*stwa w Javie........................................................... 187
Programy ładuj6ce klasy ........................................................................................ 187
Weryfikator bajt-kodu............................................................................................ 190
Chronione domeny Javy......................................................................................... 194
Potencjalne luki bezpiecze*stwa w Javie ....................................................................... 201
Ataki DoS (degradacji usług).................................................................................. 202
Konie troja*skie .................................................................................................... 204
Programowanie funkcjonalnych, ale bezpiecznych apletów w Javie ................................. 205
Skróty wiadomo(ci ................................................................................................ 206
Podpisy cyfrowe ................................................................................................... 208
6
Hack Proofing Your Web Applications. Edycja polska
Uwierzytelnianie ................................................................................................... 214
Ochrona zabezpiecze* za pomoc6 podpisywania plików JAR .................................... 220
Szyfrowanie.......................................................................................................... 223
Zalecenia Sun Microsystems odno(nie bezpiecze*stwa w Javie ................................. 227
Podsumowanie............................................................................................................ 230
Skrót rozwi6za* .......................................................................................................... 231
Pytania i odpowiedzi ................................................................................................... 232
Rozdział 8. Bezpiecze stwo w jzyku XML.............................................................235
Wprowadzenie ............................................................................................................ 235
Definicja j5zyka XML ................................................................................................. 236
Struktura logiczna.................................................................................................. 237
Elementy .............................................................................................................. 237
Dokumenty XML, XSL i DTD ............................................................................... 240
Zastosowanie szablonów w j5zyku XSL.................................................................. 240
Zastosowanie wzorów w j5zyku XSL...................................................................... 241
DTD .................................................................................................................... 243
Wykorzystanie j5zyka XML do tworzenia aplikacji WWW............................................. 245
Ryzyko zwi6zane z j5zykiem XML............................................................................... 247
Problemy tajno(ci.................................................................................................. 248
Bezpiecze*stwo w j5zyku XML ................................................................................... 249
Specyfikacja XML Encryption................................................................................ 250
Specyfikacja XML Digital Signatures...................................................................... 254
Podsumowanie............................................................................................................ 256
Skrót rozwi6za* .......................................................................................................... 257
Pytania i odpowiedzi ................................................................................................... 258
Rozdział 9. Tworzenie bezpiecznych sieciowych kontrolek ActiveX..........................259
Wprowadzenie ............................................................................................................ 259
Zagro0enia zwi6zane z technologi6 ActiveX .................................................................. 260
Unikanie typowych luk bezpiecze*stwa w kontrolkach ActiveX ................................ 262
Usuwanie skutków luk w technologii ActiveX ......................................................... 264
Metodologia tworzenia bezpiecznych kontrolek ActiveX ................................................ 267
Parametry bezpiecze*stwa obiektu .......................................................................... 267
Bezpieczne kontrolki ActiveX ...................................................................................... 268
Podpisywanie kontrolek ......................................................................................... 268
Znakowanie kontrolek............................................................................................ 271
Podsumowanie............................................................................................................ 276
Skrót rozwi6za* .......................................................................................................... 276
Pytania i odpowiedzi ................................................................................................... 278
Rozdział 10. Bezpiecze stwo w ColdFusion..............................................................281
Wprowadzenie ............................................................................................................ 281
Jak działa ColdFusion? ................................................................................................ 282
Zalety szybkiego projektowania.............................................................................. 283
Zarys znacznikowego j5zyka ColdFusion................................................................. 284
Zachowanie bezpiecze*stwa w technologii ColdFusion .................................................. 286
Projektowanie z uwzgl5dnieniem bezpiecze*stwa..................................................... 288
Bezpieczne rozpowszechnianie ............................................................................... 297
Przetwarzanie w aplikacjach ColdFusion ....................................................................... 297
Sprawdzanie istnienia danych ................................................................................. 298
Kontrola typów danych.......................................................................................... 299
Szacowanie danych ............................................................................................... 301
Ryzyko zwi6zane z technologi6 ColdFusion .................................................................. 302
Zastosowanie programów obsługi bł5dów................................................................ 304
Plik z chomika:
sq9nip
Inne pliki z tego folderu:
Visio_2002_dla_kazdego_vis22k.pdf
(1008 KB)
Vademecum_hakera_Zabezpieczenia_w_Windows_vahawi.pdf
(1381 KB)
Vademecum_hakera_Edycja_plikow_binarnych_vahace.pdf
(239 KB)
USB_Praktyczne_programowanie_z_Windows_API_w_C_usbppr.pdf
(574 KB)
UNIX_Sztuka_programowania_unszpr.pdf
(532 KB)
Inne foldery tego chomika:
Acrobat
After Effects
Bezpieczeństwo Sieci
Bezpieczeństwo Systemów
Bezpieczeństwo WWW
Zgłoś jeśli
naruszono regulamin