- عنوان کتاب: Web Application Security
- نویسنده: Malcolm McDonald
- حوزه: امنیت وب
- سال انتشار: 2020
- تعداد صفحه: 336
- زبان اصلی: انگلیسی
- نوع فایل: pdf
- حجم فایل: 12.3 مگابایت
خیلی وقت پیش (خب، خیلی وقت پیش نبود، اما دنیای فناوری آنقدر سریع پیش میرود که سالهای برنامهنویسی مثل سالهای سگی است)، من مسئول ساخت و نگهداری سیستمی شدم که اطلاعات کارت اعتباری را مدیریت کند. چنین سیستمهایی باید استانداردهای امنیت دادههای صنعت کارت پرداخت (PCI DSS) را رعایت کنند، که مستلزم یک ممیزی سالانه طاقتفرسا برای اطمینان از برآورده شدن الزامات امنیتی است. یکی از این الزامات، آموزش سالانه تیم توسعه شما در مورد آسیبپذیریهای کلیدی نرمافزاری است که ممکن است چنین سیستمی را تحت تأثیر قرار دهد و نحوه محافظت در برابر آنها. با خودم فکر کردم: “درست است. این باید آسان باشد: اینترنت اطلاعات بسیار زیادی در مورد امنیت برنامههای وب دارد که به راحتی در دسترس هستند.” معلوم شد که انتخاب بسیار زیادی وجود دارد. اینترنت مملو از اطلاعات بسیار زیادی در مورد امنیت برنامههای وب است: دقیق، نامنظم، گاهی اوقات قدیمی یا تکراری، و اغلب برای متخصصان امنیت سایبری به جای کدنویسان شاغل در نظر گرفته شده است. من چیزی مختصر و مفید میخواستم. اگر میتوانستم یک روز از وقت هر توسعهدهنده را بگیرم، ضروریترین چیزهایی که باید بدانم چیست؟ و چگونه میتوانم به بهترین شکل آن اطلاعات را ساختاردهی کنم؟ من قطعاً نمیخواستم تمام تیم توسعه را به مدت ۸ ساعت در یک اتاق کنفرانس گیر بیندازم و آنها را مجبور کنم که با پاورپوینت، اطلاعاتی را که تقریباً از قبل میدانند، ارائه دهند. این ناامیدی مرا به سمت ایجاد Hacksplaining.com و در نهایت، نوشتن این کتاب سوق داد. امنیت برنامههای وب، یک حوزه موضوعی کنجکاوانه است، به این صورت که هر برنامهنویس (حتی تازه از اردوی آموزشی فارغالتحصیل شده یا با مدرک علوم کامپیوتر جدید) دانش نسبتاً خوبی از آن خواهد داشت، اما ما تمایل داریم (کاملاً درست) احساس کنیم که باید کمی بیشتر بدانیم. انجام تحقیقات شخصی در وب میتواند مانند ورود به یک کتابخانه نامرتب و انتخاب متون تصادفی به امید کسب بینشهای خوب باشد. علاوه بر این، هیچ کس دوست ندارد به رئیس خود مراجعه کند و اعتراف کند که در دانش خود نقص دارد، بنابراین ما تمایل داریم در مورد آنچه ممکن است ندانیم، کمی ناامن باشیم. با این کتاب، سعی کردهام چند قانون را دنبال کنم: • هر آنچه که برای دانستن در مورد امنیت برنامههای وب ضروری است، در این صفحات گنجانده شده است. • هر آنچه در اینجا برای دانستن مفید است. • سعی کردهام سوالات زیادی را برای خواننده کنجکاو بیپاسخ نگذارم. توصیههای امنیتی در اینترنت معمولاً به این شکل هستند: «فقط از توکنهای ضد استارفینگ برای محافظت در برابر آسیبپذیری اسنرف واربلینگ استفاده کنید، وگرنه یک هکر واربلهای شما را استارف خواهد کرد.» وقتی این نوع توصیهها را میخوانم، فوراً از خودم میپرسم: «اما چطور میتوان واربلهای کسی را استارف کرد؟ چطور میتوانم به عنوان یک استارف واربلینگ شغل پیدا کنم؟» ناگهان هوس میکنم همه چیز را در مورد استارف واربلینگ بدانم.
Many moons ago (well, it wasn’t that long ago, but the tech world moves so fast that programmer years are like dog years), I was put in charge of building and maintaining a system that would handle credit card information. Such systems have to meet the Payment Card Industry Data Security Standards (PCI DSS), which requires a grueling annual audit to ensure that you are meeting security requirements. One of these requirements is to train your development team each year about the key software vulnerabilities that might affect such a system and how to protect against them. “Right,” I thought. “This ought to be easy: the internet has so much freely accessible information about web application security.” It turned out that there was far too much to choose from. The internet is awash with so much information on web application security: detailed, disorganized, sometimes out of date or duplicative, and often aimed at cybersecurity professionals rather than working coders. I wanted something succinct and to the point. What are the most essential things to know if I could steal a day of every developer’s time? And how best could I structure that information? I certainly didn’t want to trap the whole development team in a conference room for 8 hours and make them sit through PowerPoint presentations of info they already mostly know. That frustration led me to create Hacksplaining.com and, eventually, to write this book. Web application security is a curious subject area, in that every programmer (even fresh out of boot camp or with a recent computer science degree in hand) will have a fair knowledge of it, but we tend to feel (quite correctly) that we should know a little bit more. Doing your own research on the web can feel like walking into a disorganized library and picking up random texts, hoping to gain some good insights. Furthermore, nobody loves going to their boss and admitting that they have gaps in their knowledge, so we tend to be a little insecure about what we might not know. With this book, I’ve tried to follow a few rules: • Everything essential to know about web application security is contained within these pages. • Everything here is useful to know. • I’ve tried not to leave too many questions unanswered for the curious reader. Security advice on the internet tends to be along these lines: “Just use antisnarfing tokens to protect against the snarf-warbling vulnerability, or else a hacker will snarf your warbles.” When I read this type of advice, I immediately begin to ask, “But how would you snarf someone’s warbles? How would I get a job as a snarf warbler?” I have the sudden desire to know everything about snarf warbling.
این کتاب را میتوانید از لینک زیر بصورت رایگان دانلود کنید:
Download: Web Application Security
نظرات کاربران