معرفی و دانلود کتاب Web Application Security 2nd Edition

Web Application Security by Andrew Hoffman
Web Application Security by Andrew Hoffman

اندرو هافمن در اولین ویرایش این کتاب که مورد تحسین منتقدان قرار گرفت، سه ستون امنیت برنامه را تعریف کرد: Recon، Offense و Defense. در ویرایش دوم اصلاح‌شده و به‌روزرسانی شده، او ده‌ها موضوع مرتبط، از جدیدترین انواع حملات و کاهش‌ آنها گرفته تا مدل‌سازی تهدید، چرخه حیات توسعه نرم‌افزار امن (SSDL/SDLC) و موارد دیگر را بررسی می‌کند.

هافمن، مهندس امنیت کارکنان ارشد در Ripple، همچنین اطلاعاتی در مورد سواستفاده ها و کاهش‌ خطرات چندین برنامه کاربردی وب دیگر مانند GraphQL، استقرار مبتنی بر ابر، شبکه‌های توزیع محتوا (CDN) و رندر سمت سرور (SSR) ارائه می‌دهد. به دنبال برنامه درسی از کتاب اول، این ویرایش دوم به سه ستون مجزا تقسیم می شود که شامل سه مجموعه مهارت جداگانه است:

ستون 1: Recon—یادگیری تکنیک هایی برای نقشه برداری و مستندسازی برنامه های کاربردی وب از راه دور، از جمله رویه های کار با برنامه های کاربردی وب

ستون 2: Offense - روش‌هایی را برای حمله به برنامه‌های کاربردی وب با استفاده از تعدادی اکسپلویت بسیار مؤثر که توسط بهترین هکرهای جهان به اثبات رسیده است را بررسی کنید. این مهارت ها زمانی ارزشمند هستند که در کنار مهارت های ستون 3 استفاده شوند.

ستون 3: Defense - بر اساس مهارت های به دست آمده در دو بخش اول برای ایجاد کاهش موثر و طولانی مدت برای هر یک از حملات شرح داده شده در ستون 2.

حداقل مهارت های مورد نیاز:

  • شما بتوانید برنامه های اصلی CRUD (ایجاد، خواندن، به روز رسانی، حذف) را حداقل در یک زبان برنامه نویسی بنویسید.
  • بتوانید کدی را بنویسید که در جایی روی سرور اجرا می شود (مانند کد backend).
  • بتوانید حداقل کدهایی بنویسید که در یک مرورگر اجرا می‌شوند (کد frontend، معمولاً جاوا اسکریپت).
  • بدانید که HTTP چیست و بتوانید تماس‌های GET/POST را از طریق HTTP در برخی از زبان‌ها یا چارچوب‌ها برقرار کنید یا حداقل بخوانید.
  • شما بتوانید برنامه هایی را بنویسید یا حداقل بخوانید و درک کنید که از کد سمت سرور و سمت کلاینت استفاده می کنند و بین این دو از طریق HTTP ارتباط برقرار می کنند.
  • حداقل با یک پایگاه داده محبوب (MySQL، MongoDB و غیره) آشنا باشید.

ویرایش اول کتاب در سال 2020 و ویرایش دوم کتاب در ژانویه 2024 توسط انتشارات Oreilly و در 37 فصل به چاپ رسید که عبارتند از:

1. The History of Software Security | تاریخچه امنیت نرم افزار

2. Introduction to Web Application Reconnaissance | مقدمه ای بر شناسایی برنامه های وب

3. The Structure of a Modern Web Application | ساختار یک برنامه وب مدرن

4. Finding Subdomains | یافتن زیر دامنه ها

5. API Analysis | تحلیل API

6. Identifying Third-Party Dependencies | شناسایی وابستگی های شخص ثالث

7. Identifying Weak Points in Application Architecture | شناسایی نقاط ضعف در معماری برنامه

8. Part I Summary | خلاصه بخش اول

9. Introduction to Hacking Web Applications | مقدمه ای بر هک کردن برنامه های وب

10. Cross-Site Scripting | اسکریپت بین سایتی (XSS)

11. Cross-Site Request Forgery | جعل درخواست بین سایتی (CSRF)

12. XML External Entity | نهاد خارجی XML (XXE)

13. Injection | تزریق

14. Denial of Service | حمله منع سرویس (DoS)

15. Attacking Data and Objects | حمله به داده ها و اشیاء

16. Client-Side Attacks | حملات سمت کاربر (Client-Side)

17. Exploiting Third-Party Dependencies | سوء استفاده از وابستگی های شخص ثالث

18. Business Logic Vulnerabilities | آسیب پذیری های منطق کسب و کار

19. Part II Summary | خلاصه بخش دوم

20. Securing Modern Web Applications | ایمن سازی برنامه های وب مدرن

21. Secure Application Architecture | معماری امن برای برنامه ها

22. Secure Application Configuration | پیکربندی امن برنامه

23. Secure User Experience | تجربه کاربری امن

24. Threat Modeling Applications | مدل سازی تهدید برای برنامه ها

25. Reviewing Code for Security | بررسی کد برای امنیت

26. Vulnerability Discovery | کشف آسیب پذیری

27. Vulnerability Management | مدیریت آسیب پذیری

28. Defending Against XSS Attacks | دفاع در برابر حملات XSS

29. Defending Against CSRF Attacks | دفاع در برابر حملات CSRF

30. Defending Against XXE | دفاع در برابر حملات XXE

31. Defending Against Injection | دفاع در برابر حملات تزریق

32. Defending Against DoS | دفاع در برابر حملات DoS

33. Defending Data and Objects | دفاع از داده ها و اشیاء

34. Defense Against Client-Side Attacks | دفاع در برابر حملات سمت کاربر

35. Securing Third-Party Dependencies | ایمن سازی وابستگی های شخص ثالث

36. Mitigating Business Logic Vulnerabilities | کاهش آسیب پذیری های منطق کسب و کار

37. Part III Summary | خلاصه بخش سوم

جهت دانلود رایگان کتاب به کانال تلگرام Computer Ebook (@itpdfbook) مراجعه نمایید.