Книги / Компьютерная литература / Разработка ПО / Web-дизайн. Web-мастеринг. Разработка web-приложений
Безопасность веб-приложений. Исчерпывающий гид для начинающих разработчиков
Янка Таня
Код товара: 4983587
(0 оценок)Оценить
ОтзывНаписать отзыв
ВопросЗадать вопрос
1 / 4
PDF
1 / 4
Нет в наличии
Доставим в
г. Химки, Московская обл.Курьером
'%3e%3crect%20width='40'%20height='40'%20rx='1.33333'%20fill='%235B2599'/%3e%3cpath%20d='M11.6667%2014.537L5.77778%2021.2037L13.2222%2025.8704L25.1111%2025.3148L24.5556%2016.6482L20.6667%2014.537H11.6667Z'%20fill='white'/%3e%3cpath%20d='M17%2016.3149L14.3333%209.87042L18.4444%203.64819L31%206.20375L35.2222%2023.6482L21.4444%2038.426L14.1111%2025.0926L23.3333%2025.8704L24.1111%2014.7593L17%2016.3149Z'%20fill='%2365D0DD'%20stroke='%2365D0DD'%20stroke-width='0.222222'/%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M16.3702%200.549052C10.9656%201.12198%206.10232%204.0939%203.0359%208.69756C1.67884%2010.7349%200.821097%2012.8096%200.301173%2015.3115C0.0501214%2016.5203%200.00690573%2017.0127%200.000445654%2018.7392C-0.00746236%2020.8657%200.0863201%2021.6614%200.56793%2023.5556C1.44728%2027.0136%202.61789%2028.8896%208.1251%2035.6671C12.6346%2041.2167%2014.4445%2043.8483%2016.2657%2047.5032C17.8764%2050.7355%2018.8331%2053.7366%2019.4241%2057.4102L19.5547%2058.2222H19.9851C20.3966%2058.2222%2020.4184%2058.2036%2020.4814%2057.8022C21.556%2050.9486%2023.9992%2045.6599%2029.161%2039.0128C29.5916%2038.4583%2030.8265%2036.921%2031.9051%2035.5965C34.231%2032.7405%2036.5804%2029.669%2037.2227%2028.6446C40.5423%2023.3494%2040.9125%2016.5623%2038.1907%2010.8986C35.4085%205.10925%2029.9531%201.26568%2023.4886%200.540203C22.3134%200.408257%2017.643%200.414081%2016.3702%200.549052ZM24.6383%208.06505C25.4205%208.53011%2026.7108%209.79659%2027.2974%2010.6746C28.443%2012.3898%2029.2639%2014.5619%2029.7377%2017.1315C30.0068%2018.5908%2030.0653%2022.0425%2029.849%2023.6895C29.3587%2027.4207%2028.0784%2030.4471%2026.1617%2032.4052C24.9507%2033.6423%2024.2814%2033.9726%2022.9874%2033.9718C22.1684%2033.9713%2021.9514%2033.9273%2021.3793%2033.6452C20.1944%2033.0613%2018.7227%2031.3826%2017.8364%2029.6041C17.5036%2028.9364%2016.8052%2027.0647%2016.6975%2026.5518L16.621%2026.1878H17.286C17.9195%2026.1878%2017.9547%2026.2025%2018.0249%2026.4958C18.0655%2026.6652%2018.3166%2027.2575%2018.583%2027.8119C19.5493%2029.8237%2021.025%2030.9905%2022.4396%2030.8615C26.4284%2030.4978%2028.7121%2022.0424%2026.591%2015.491C25.9102%2013.3885%2024.7427%2011.7574%2023.4926%2011.1626C22.7107%2010.7907%2022.0678%2010.7524%2021.253%2011.029C20.4928%2011.2872%2019.2796%2012.524%2018.7165%2013.6148L18.2973%2014.4269H17.623H16.9487L17.0233%2014.1189C17.1613%2013.5493%2017.8502%2012.0467%2018.3883%2011.1416C19.3043%209.6008%2021.0802%207.97152%2022.1488%207.69161C22.3344%207.643%2022.8307%207.62407%2023.2516%207.6495C23.8673%207.68657%2024.1386%207.768%2024.6383%208.06505ZM22.2077%2020.7026V24.4022L20.7319%2024.3709L19.2561%2024.3397L19.2263%2021.6235L19.1964%2018.9072H16.4913H13.7862L13.6483%2019.7325C13.4881%2020.6919%2012.9405%2021.8984%2012.3618%2022.5675C11.496%2023.5685%209.99273%2024.3148%208.53576%2024.4669L7.83963%2024.5396V23.1374V21.7352L8.4344%2021.6856C10.026%2021.5529%2010.6998%2020.5141%2010.9087%2017.8712L10.9773%2017.0031H16.5925H22.2077V20.7026Z'%20fill='%235B2599'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_965_57'%3e%3crect%20width='40'%20height='40'%20rx='1.33333'%20fill='white'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
бесплатно от 10 000 ₽
В пункт выдачи
от 155 ₽
бесплатно от 10 000 ₽
Точная стоимость доставки рассчитывается при оформлении заказа
Издательство:
Оригинальное название:
Alice and Bob Learn Application Security
Год издания:
2023 г.
Может быть отгружен товар указанного или более позднего года
Переводчик:
Отмечено тегами
Описание
Характеристики
Исчерпывающее руководство по безопасности программного обеспечения.
Поддерживать безопасность своих продуктов — одна из первостепенных задач любой современной IT-компании. В этой книге вы найдете пошаговые инструкции по тому, как спроектировать безопасную архитектуру веб-сайтов и приложений и защищать ее на всех этапах производства и реализации. Более того, автор даст ответы на самые распространенные вопросы об информационной безопасности и расскажет о лучших практиках гигантов технологической индустрии, например, Microsoft и Google.
Для кого эта книга:
• специалисты по информационной безопасности;
• практикующие разработчики программного обеспечения;
• инженеры приложений;
• руководители IT-проектов;
• специалисты по тестированию.
Таня Янка, также известная как SheHacksPurple — основательница сообщества и онлайн-академии We Hack Purple, цель которых — научить разработчиков создавать безопасное программное обеспечение. Таня занимается программированием и работает в сфере информационных технологий более 20 лет, в ее послужной список входят такие технологические корпорации, как Microsoft, Adobe и Nokia.
Поддерживать безопасность своих продуктов — одна из первостепенных задач любой современной IT-компании. В этой книге вы найдете пошаговые инструкции по тому, как спроектировать безопасную архитектуру веб-сайтов и приложений и защищать ее на всех этапах производства и реализации. Более того, автор даст ответы на самые распространенные вопросы об информационной безопасности и расскажет о лучших практиках гигантов технологической индустрии, например, Microsoft и Google.
Для кого эта книга:
• специалисты по информационной безопасности;
• практикующие разработчики программного обеспечения;
• инженеры приложений;
• руководители IT-проектов;
• специалисты по тестированию.
Таня Янка, также известная как SheHacksPurple — основательница сообщества и онлайн-академии We Hack Purple, цель которых — научить разработчиков создавать безопасное программное обеспечение. Таня занимается программированием и работает в сфере информационных технологий более 20 лет, в ее послужной список входят такие технологические корпорации, как Microsoft, Adobe и Nokia.
количество томов
1
количество страниц
464 стр.
переплет
Твёрдый переплёт
размеры
220x145x26 мм
цвет
Чёрный
тип бумаги
офсетная (60-220 г/м2)
ISBN
978-5-04-171803-9
возрастная категория
18+ (нет данных)
вес
код в Майшоп
4983587
язык
русский
Содержание
Об авторе
О технических редакторах
Благодарности
Предисловие
Введение
Сдвиг влево
О книге
Темы, выходящие за рамки книги
Ответы
ЧАСТЬ I
ВСЕ, ЧТО НУЖНО ЗНАТЬ О КОДЕ, БЕЗОПАСНОМ
ДЛЯ ПУБЛИКАЦИИ В ИНТЕРНЕТЕ
Глава 1. Основы безопасности
Обязательство по обеспечению безопасности:
"CIA"
Конфиденциальность
Целостность
Доступность
"Предполагать взлом"
Внутренние угрозы
Глубокая защита
Принцип наименьших привилегий
Безопасность цепи поставок
Безопасность через неясность
Уменьшение поверхности атаки
Жесткое кодирование
"Никогда не доверяй, всегда проверяй"
Удобство и безопасность
Факторы аутентификации
Упражнения
Глава 2. Требования безопасности
Требования
Шифрование
Никогда нельзя доверять входному потоку
системы
Кодирование и экранирование
Сторонние компоненты
Заголовки безопасности: ремни безопасности
для веб-приложений
Заголовки безопасности на практике
Х-XSS-Protection
Content-Security-Policy (CSP)
X-Frame-Options
X-Content-Type-Options
Referrer-Policy
Strict-Transport-Security (HSTS)
Feature-Policy
X-Permitted-Cross-Domain-Policies
Expect-CT
Public Key Pinning Extension for HTTP (HPKP)
Обеспечение безопасности файлов cookies
Флаг Secure
Флаг HTTPOnly
Для постоянных cookies
Domain
Path
Same-site
Cookie с префиксом
Политика конфиденциальности
Классификация данных
Пароли, хранилище и другие важные решения,
касающиеся обеспечения безопасности
HTTPS повсюду
Настройки TLS
Комментарии
Резервное копирование и восстановление
Элементы безопасности платформы
Технический долг = Долг безопасности
Загрузка файлов
Ошибки и их регистрация
Проверка и санитизация вводимых значений
Авторизация и аутентификация
Параметризированные запросы
Параметры URL
Принцип наименьших привилегий
Чек-лист требований
Упражнения
Глава 3. Безопасность при проектировании ПО
Ошибка проектирования и дефект безопасности
Позднее обнаружение ошибки проектирования
Сдвиг влево
Концепции проектирования безопасного ПО
Защита конфиденциальных данных
"Никогда не доверяй, всегда проверяй"
и "Предполагать взлом"
Резервное копирование и откат
Валидация на стороне сервера
Функции безопасности платформы
Изоляция функций безопасности
Разделение приложения
Управление секретами приложения
Повторная аутентификация при транзакционных
операциях (предотвращение CSRF-атаки)
Разделение производственных данных
Защита исходного кода
Моделирование угроз
Упражнения
Глава 4. Безопасность кода ПО
Выбор используемой платформы и языка
программирования
Пример 1
Пример 2
Пример 3
Языки программирования и платформы: правило
Сомнительные данные
HTTP-глаголы
Идентификация
Управление сессиями
Проверка границ
Аутентификация (AuthN)
Авторизация (AuthZ)
Обработка, регистрация и мониторинг ошибок
Правила работы с ошибками
Регистрация
Мониторинг
Упражнения
Глава 5
Часто встречающиеся подводные камни
OWASP
Ранее не упомянутые средства защиты и
уязвимости ....
Межсайтовая подделка запроса (CSRF)
Подделка запросов со стороны сервера (SSRF)
Десериализация
Состояние гонки
Заключительные комментарии
Упражнения
ЧАСТЬ II
КАК НАПИСАТЬ БЕЗУПРЕЧНЫЙ КОД
Глава 6. Тестирование и развертывание
Тестирование кода
Обзор кода
Статическое тестирование безопасности
приложений (SAST)
Анализ состава программного обеспечения (SCA)
Модульное тестирование
Инфраструктура как код (IaC) и безопасность
как код (SaC)
Тестирование приложения
Ручное тестирование
Браузеры
Инструменты разработчика
Веб-прокси
Фаззинг
Динамическое тестирование безопасности
приложений (DAST)
Инфраструктура
Пользовательские приложения
Оценка уязвимости, оценка безопасности,
пентестирование
Гигиена безопасности
Стресс-тестирование и тестирование
производительности
Интеграционное тестирование
Интерактивное тестирование безопасности
приложений
Регрессионное тестирование
Тестирование инфраструктуры
Тестирование базы данных
Тестирование API и веб-серверов
Тестирование интеграций
Тестирование сети
Развертывание
Редактирование кода на сервере в реальном
времени
Публикация из среды IDE
"Самодельные" системы развертывания
Ранбуки
Непрерывная интеграция, непрерывная поставка,
непрерывное развертывание
Упражнения
Глава 7. Программы безопасности приложений
Задачи программы по защите приложения
Создание и поддержка реестра приложения
Техническая возможность обнаружения
уязвимостей
в написанном, выполняемом и стороннем коде
Знания и ресурсы, необходимые для исправления
уязвимостей
Образование и справочные материалы
Предоставление разработчикам инструментов
по обеспечению безопасности приложений
Проведение одного или нескольких мероприятий по
обеспечению безопасности на каждом этапе
жизненного цикла разработки системы
Внедрение полезных и эффективных инструментов
Команда реагирования на инциденты, которая
знает,
когда вам звонить
Постоянное совершенствование программы на
основе показателей, экспериментов
и обратной связи
Метрики
Экспериментирование
Обратная связь от всех и каждой из
заинтересованных сторон
Особое замечание о DevOps и Agile
Деятельность по обеспечению безопасности
приложений
Инструменты по обеспечению безопасности
приложений
Ваша программа безопасности приложения
Упражнения
Глава 8. Обеспечение безопасности современных
систем и приложений
API и микросервисы
Онлайн-хранилище
Контейнеры и оркестровка
Бессерверные приложения
Инфраструктура как код (IaC)
Безопасность как код (SaC)
Платформа как услуга (PaaS)
Инфраструктура как услуга (IaaS)
Непрерывные интеграция, поставка
и развертывание
Dev(Sec)Ops
DevSecOps
Облако
Облачные вычисления
Ориентированность на облако
Безопасность облачно-ориентированной среды
Облачные потоки
Современные инструменты
Интерактивное тестирование безопасности
приложений IAST
Запуск защиты приложений
Контроль целостности файлов
Инструменты контроля приложений (Список
одобренного программного обеспечения)
Инструменты безопасности,
созданные для конвейеров DevOps
Инструменты инвентаризации приложений
Автоматизация политики наименьших привилегий
и других
Современные тактические приемы
В итоге
Упражнения
ЧАСТЬ III
ПОЛЕЗНАЯ ИНФОРМАЦИЯ О ТОМ,
КАК ПОСТОЯННО ПИСАТЬ КОД ОЧЕНЬ ВЫСОКОГО
КАЧЕСТВА
Глава 9. Полезные привычки
Управление паролями
Отмена правил сложности пароля
Использование менеджера паролей
Парольные фразы
Отказ от повторного использования паролей
Отказ от ротации паролей
Многофакторная аутентификация
Реагирование на инциденты
Пожарные учения
Непрерывное сканирование
Технический долг
Инвентаризация
Другие полезные привычки
Политики
Загрузки и устройства
Блокировка рабочей техники
Приватность
Итоги
Упражнения
Глава 10. Непрерывное обучение
Что изучать
Нападение = защита
Не забывайте о "гибких навыках"
Лидерство != менеджмент
Варианты обучения
Действия, которые можно выполнять
самостоятельно
Действия, которые можно выполнять на работе
(или о чем можно попросить начальника)
Действия, которые можно выполнять
в отношении своих сотрудников
Подотчетность
Составление плана
Действуйте
Упражнения
Учебный план
Глава 11. Заключение
Вопросы, оставшиеся без ответа
Когда можно говорить о достаточности
предпринятых мер по обеспечению
безопасности?
Как привлечь руководство к обеспечению
безопасности?
Как привлечь разработчиков
к обеспечению безопасности?
С чего начать?
Откуда брать помощь?
Заключение
Приложение А. Источники
Приложение Б. Ответы
Предметный указатель
О технических редакторах
Благодарности
Предисловие
Введение
Сдвиг влево
О книге
Темы, выходящие за рамки книги
Ответы
ЧАСТЬ I
ВСЕ, ЧТО НУЖНО ЗНАТЬ О КОДЕ, БЕЗОПАСНОМ
ДЛЯ ПУБЛИКАЦИИ В ИНТЕРНЕТЕ
Глава 1. Основы безопасности
Обязательство по обеспечению безопасности:
"CIA"
Конфиденциальность
Целостность
Доступность
"Предполагать взлом"
Внутренние угрозы
Глубокая защита
Принцип наименьших привилегий
Безопасность цепи поставок
Безопасность через неясность
Уменьшение поверхности атаки
Жесткое кодирование
"Никогда не доверяй, всегда проверяй"
Удобство и безопасность
Факторы аутентификации
Упражнения
Глава 2. Требования безопасности
Требования
Шифрование
Никогда нельзя доверять входному потоку
системы
Кодирование и экранирование
Сторонние компоненты
Заголовки безопасности: ремни безопасности
для веб-приложений
Заголовки безопасности на практике
Х-XSS-Protection
Content-Security-Policy (CSP)
X-Frame-Options
X-Content-Type-Options
Referrer-Policy
Strict-Transport-Security (HSTS)
Feature-Policy
X-Permitted-Cross-Domain-Policies
Expect-CT
Public Key Pinning Extension for HTTP (HPKP)
Обеспечение безопасности файлов cookies
Флаг Secure
Флаг HTTPOnly
Для постоянных cookies
Domain
Path
Same-site
Cookie с префиксом
Политика конфиденциальности
Классификация данных
Пароли, хранилище и другие важные решения,
касающиеся обеспечения безопасности
HTTPS повсюду
Настройки TLS
Комментарии
Резервное копирование и восстановление
Элементы безопасности платформы
Технический долг = Долг безопасности
Загрузка файлов
Ошибки и их регистрация
Проверка и санитизация вводимых значений
Авторизация и аутентификация
Параметризированные запросы
Параметры URL
Принцип наименьших привилегий
Чек-лист требований
Упражнения
Глава 3. Безопасность при проектировании ПО
Ошибка проектирования и дефект безопасности
Позднее обнаружение ошибки проектирования
Сдвиг влево
Концепции проектирования безопасного ПО
Защита конфиденциальных данных
"Никогда не доверяй, всегда проверяй"
и "Предполагать взлом"
Резервное копирование и откат
Валидация на стороне сервера
Функции безопасности платформы
Изоляция функций безопасности
Разделение приложения
Управление секретами приложения
Повторная аутентификация при транзакционных
операциях (предотвращение CSRF-атаки)
Разделение производственных данных
Защита исходного кода
Моделирование угроз
Упражнения
Глава 4. Безопасность кода ПО
Выбор используемой платформы и языка
программирования
Пример 1
Пример 2
Пример 3
Языки программирования и платформы: правило
Сомнительные данные
HTTP-глаголы
Идентификация
Управление сессиями
Проверка границ
Аутентификация (AuthN)
Авторизация (AuthZ)
Обработка, регистрация и мониторинг ошибок
Правила работы с ошибками
Регистрация
Мониторинг
Упражнения
Глава 5
Часто встречающиеся подводные камни
OWASP
Ранее не упомянутые средства защиты и
уязвимости ....
Межсайтовая подделка запроса (CSRF)
Подделка запросов со стороны сервера (SSRF)
Десериализация
Состояние гонки
Заключительные комментарии
Упражнения
ЧАСТЬ II
КАК НАПИСАТЬ БЕЗУПРЕЧНЫЙ КОД
Глава 6. Тестирование и развертывание
Тестирование кода
Обзор кода
Статическое тестирование безопасности
приложений (SAST)
Анализ состава программного обеспечения (SCA)
Модульное тестирование
Инфраструктура как код (IaC) и безопасность
как код (SaC)
Тестирование приложения
Ручное тестирование
Браузеры
Инструменты разработчика
Веб-прокси
Фаззинг
Динамическое тестирование безопасности
приложений (DAST)
Инфраструктура
Пользовательские приложения
Оценка уязвимости, оценка безопасности,
пентестирование
Гигиена безопасности
Стресс-тестирование и тестирование
производительности
Интеграционное тестирование
Интерактивное тестирование безопасности
приложений
Регрессионное тестирование
Тестирование инфраструктуры
Тестирование базы данных
Тестирование API и веб-серверов
Тестирование интеграций
Тестирование сети
Развертывание
Редактирование кода на сервере в реальном
времени
Публикация из среды IDE
"Самодельные" системы развертывания
Ранбуки
Непрерывная интеграция, непрерывная поставка,
непрерывное развертывание
Упражнения
Глава 7. Программы безопасности приложений
Задачи программы по защите приложения
Создание и поддержка реестра приложения
Техническая возможность обнаружения
уязвимостей
в написанном, выполняемом и стороннем коде
Знания и ресурсы, необходимые для исправления
уязвимостей
Образование и справочные материалы
Предоставление разработчикам инструментов
по обеспечению безопасности приложений
Проведение одного или нескольких мероприятий по
обеспечению безопасности на каждом этапе
жизненного цикла разработки системы
Внедрение полезных и эффективных инструментов
Команда реагирования на инциденты, которая
знает,
когда вам звонить
Постоянное совершенствование программы на
основе показателей, экспериментов
и обратной связи
Метрики
Экспериментирование
Обратная связь от всех и каждой из
заинтересованных сторон
Особое замечание о DevOps и Agile
Деятельность по обеспечению безопасности
приложений
Инструменты по обеспечению безопасности
приложений
Ваша программа безопасности приложения
Упражнения
Глава 8. Обеспечение безопасности современных
систем и приложений
API и микросервисы
Онлайн-хранилище
Контейнеры и оркестровка
Бессерверные приложения
Инфраструктура как код (IaC)
Безопасность как код (SaC)
Платформа как услуга (PaaS)
Инфраструктура как услуга (IaaS)
Непрерывные интеграция, поставка
и развертывание
Dev(Sec)Ops
DevSecOps
Облако
Облачные вычисления
Ориентированность на облако
Безопасность облачно-ориентированной среды
Облачные потоки
Современные инструменты
Интерактивное тестирование безопасности
приложений IAST
Запуск защиты приложений
Контроль целостности файлов
Инструменты контроля приложений (Список
одобренного программного обеспечения)
Инструменты безопасности,
созданные для конвейеров DevOps
Инструменты инвентаризации приложений
Автоматизация политики наименьших привилегий
и других
Современные тактические приемы
В итоге
Упражнения
ЧАСТЬ III
ПОЛЕЗНАЯ ИНФОРМАЦИЯ О ТОМ,
КАК ПОСТОЯННО ПИСАТЬ КОД ОЧЕНЬ ВЫСОКОГО
КАЧЕСТВА
Глава 9. Полезные привычки
Управление паролями
Отмена правил сложности пароля
Использование менеджера паролей
Парольные фразы
Отказ от повторного использования паролей
Отказ от ротации паролей
Многофакторная аутентификация
Реагирование на инциденты
Пожарные учения
Непрерывное сканирование
Технический долг
Инвентаризация
Другие полезные привычки
Политики
Загрузки и устройства
Блокировка рабочей техники
Приватность
Итоги
Упражнения
Глава 10. Непрерывное обучение
Что изучать
Нападение = защита
Не забывайте о "гибких навыках"
Лидерство != менеджмент
Варианты обучения
Действия, которые можно выполнять
самостоятельно
Действия, которые можно выполнять на работе
(или о чем можно попросить начальника)
Действия, которые можно выполнять
в отношении своих сотрудников
Подотчетность
Составление плана
Действуйте
Упражнения
Учебный план
Глава 11. Заключение
Вопросы, оставшиеся без ответа
Когда можно говорить о достаточности
предпринятых мер по обеспечению
безопасности?
Как привлечь руководство к обеспечению
безопасности?
Как привлечь разработчиков
к обеспечению безопасности?
С чего начать?
Откуда брать помощь?
Заключение
Приложение А. Источники
Приложение Б. Ответы
Предметный указатель
Отзывы
Вопросы
Поделитесь своим мнением об этом товаре с другими покупателями — будьте первыми!
Дарим бонусы за отзывы!
За какие отзывы можно получить бонусы?
- За уникальные, информативные отзывы, прошедшие модерацию
Как получить больше бонусов за отзыв?
- Публикуйте фото или видео к отзыву
- Пишите отзывы на товары с меткой "Бонусы за отзыв"
Задайте вопрос, чтобы узнать больше о товаре
Если вы обнаружили ошибку в описании товара «Безопасность веб-приложений. Исчерпывающий гид для начинающих разработчиков» (авторы: Янка Таня), то выделите её мышкой и нажмите Ctrl+Enter. Спасибо, что помогаете нам стать лучше!