دانشجوی کارشناسی ارشد هوش مصنوعی
معرفی و دانلود کتاب Web Application Security 2nd Edition
اندرو هافمن در اولین ویرایش این کتاب که مورد تحسین منتقدان قرار گرفت، سه ستون امنیت برنامه را تعریف کرد: Recon، Offense و Defense. در ویرایش دوم اصلاحشده و بهروزرسانی شده، او دهها موضوع مرتبط، از جدیدترین انواع حملات و کاهش آنها گرفته تا مدلسازی تهدید، چرخه حیات توسعه نرمافزار امن (SSDL/SDLC) و موارد دیگر را بررسی میکند.
هافمن، مهندس امنیت کارکنان ارشد در Ripple، همچنین اطلاعاتی در مورد سواستفاده ها و کاهش خطرات چندین برنامه کاربردی وب دیگر مانند GraphQL، استقرار مبتنی بر ابر، شبکههای توزیع محتوا (CDN) و رندر سمت سرور (SSR) ارائه میدهد. به دنبال برنامه درسی از کتاب اول، این ویرایش دوم به سه ستون مجزا تقسیم می شود که شامل سه مجموعه مهارت جداگانه است:
ستون 1: Recon—یادگیری تکنیک هایی برای نقشه برداری و مستندسازی برنامه های کاربردی وب از راه دور، از جمله رویه های کار با برنامه های کاربردی وب
ستون 2: Offense - روشهایی را برای حمله به برنامههای کاربردی وب با استفاده از تعدادی اکسپلویت بسیار مؤثر که توسط بهترین هکرهای جهان به اثبات رسیده است را بررسی کنید. این مهارت ها زمانی ارزشمند هستند که در کنار مهارت های ستون 3 استفاده شوند.
ستون 3: Defense - بر اساس مهارت های به دست آمده در دو بخش اول برای ایجاد کاهش موثر و طولانی مدت برای هر یک از حملات شرح داده شده در ستون 2.
حداقل مهارت های مورد نیاز:
- شما بتوانید برنامه های اصلی CRUD (ایجاد، خواندن، به روز رسانی، حذف) را حداقل در یک زبان برنامه نویسی بنویسید.
- بتوانید کدی را بنویسید که در جایی روی سرور اجرا می شود (مانند کد backend).
- بتوانید حداقل کدهایی بنویسید که در یک مرورگر اجرا میشوند (کد frontend، معمولاً جاوا اسکریپت).
- بدانید که HTTP چیست و بتوانید تماسهای GET/POST را از طریق HTTP در برخی از زبانها یا چارچوبها برقرار کنید یا حداقل بخوانید.
- شما بتوانید برنامه هایی را بنویسید یا حداقل بخوانید و درک کنید که از کد سمت سرور و سمت کلاینت استفاده می کنند و بین این دو از طریق HTTP ارتباط برقرار می کنند.
- حداقل با یک پایگاه داده محبوب (MySQL، MongoDB و غیره) آشنا باشید.
ویرایش اول کتاب در سال 2020 و ویرایش دوم کتاب در ژانویه 2024 توسط انتشارات Oreilly و در 37 فصل به چاپ رسید که عبارتند از:
1. The History of Software Security | تاریخچه امنیت نرم افزار
2. Introduction to Web Application Reconnaissance | مقدمه ای بر شناسایی برنامه های وب
3. The Structure of a Modern Web Application | ساختار یک برنامه وب مدرن
4. Finding Subdomains | یافتن زیر دامنه ها
5. API Analysis | تحلیل API
6. Identifying Third-Party Dependencies | شناسایی وابستگی های شخص ثالث
7. Identifying Weak Points in Application Architecture | شناسایی نقاط ضعف در معماری برنامه
8. Part I Summary | خلاصه بخش اول
9. Introduction to Hacking Web Applications | مقدمه ای بر هک کردن برنامه های وب
10. Cross-Site Scripting | اسکریپت بین سایتی (XSS)
11. Cross-Site Request Forgery | جعل درخواست بین سایتی (CSRF)
12. XML External Entity | نهاد خارجی XML (XXE)
13. Injection | تزریق
14. Denial of Service | حمله منع سرویس (DoS)
15. Attacking Data and Objects | حمله به داده ها و اشیاء
16. Client-Side Attacks | حملات سمت کاربر (Client-Side)
17. Exploiting Third-Party Dependencies | سوء استفاده از وابستگی های شخص ثالث
18. Business Logic Vulnerabilities | آسیب پذیری های منطق کسب و کار
19. Part II Summary | خلاصه بخش دوم
20. Securing Modern Web Applications | ایمن سازی برنامه های وب مدرن
21. Secure Application Architecture | معماری امن برای برنامه ها
22. Secure Application Configuration | پیکربندی امن برنامه
23. Secure User Experience | تجربه کاربری امن
24. Threat Modeling Applications | مدل سازی تهدید برای برنامه ها
25. Reviewing Code for Security | بررسی کد برای امنیت
26. Vulnerability Discovery | کشف آسیب پذیری
27. Vulnerability Management | مدیریت آسیب پذیری
28. Defending Against XSS Attacks | دفاع در برابر حملات XSS
29. Defending Against CSRF Attacks | دفاع در برابر حملات CSRF
30. Defending Against XXE | دفاع در برابر حملات XXE
31. Defending Against Injection | دفاع در برابر حملات تزریق
32. Defending Against DoS | دفاع در برابر حملات DoS
33. Defending Data and Objects | دفاع از داده ها و اشیاء
34. Defense Against Client-Side Attacks | دفاع در برابر حملات سمت کاربر
35. Securing Third-Party Dependencies | ایمن سازی وابستگی های شخص ثالث
36. Mitigating Business Logic Vulnerabilities | کاهش آسیب پذیری های منطق کسب و کار
37. Part III Summary | خلاصه بخش سوم
جهت دانلود رایگان کتاب به کانال تلگرام Computer Ebook (@itpdfbook) مراجعه نمایید.
مطلبی دیگر از این انتشارات
معرفی و دانلود کتاب Learning Go 2nd Edition
مطلبی دیگر از این انتشارات
معرفی و دانلود کتاب Architecting IoT Solutions on Azure
مطلبی دیگر از این انتشارات
معرفی و دانلود کتاب Hands-On Entity Resolution