Wydawałoby się, iż ze względu na obfity dostęp do tworzyw poświęconych bezpieczeństwu systemów informatycznych, temat ten powinien być perfekcyjnie znany każdemu inżynierowi. Mimo to media regularnie donoszą o pięknych naruszeniach zabezpieczeń.
Następstwem udanych ataków mogą być nie tylko straty finansowe i uszczerbek na wizerunku,w dodatku zagrożenie bezpieczeństwa narodowego. Zapewnienie wysokiego stopnia bezpieczeństwa systemu informatycznego wymaga ciągłego uczenia się, aktualizowania i systematyzowania swej wiedzy.
Tylko w ten sposób mamy szansę pokonać hakerów w tym niekończącym się wyścigu zbrojeń.Książka systematyzuje wiedzę dotyczącą ataków hakerskich i technik zabezpieczania przed nimi aplikacji internetowych.
Autor dogłębnie opisuje metody ataków na poziomie kodu i architektury systemu. Sporo uwagi poświęca eksperckim technikom prowadzenia rekonesansów, dzięki którym nawet bez wiedzy o strukturze i kodzie aplikacji można samodzielnie zrozumieć sposób jej działania i zidentyfikować wrażliwe punkty systemu.
Następnie omawia najróżniejsze techniki ataków, począwszy od łamania zwykłych zabezpieczeń, a skończywszy na metodach obchodzenia nowoczesnych mechanizmów obronnych. Kolejne rozdziały dotyczą zapobiegania włamaniom do systemu.
Jednym z ciekawszych zagadnień jest ocena kompromisu między zapewnieniem akceptowalnego poziomu bezpieczeństwa a kosztami i skutecznością użytkowania aplikacji. Poszczególne zagadnienia zostały ujęte w interesujący sposób i przedstawione z kilku najróżniejszych punktów widzenia.W książce pomiędzy innymi:- typowe luki bezpieczeństwa- podstawowe techniki atakowania aplikacji- niestandardowe metody omijania typowych zabezpieczeń- wdrażanie zabezpieczeń aplikacji- najlepsze praktyki bezpiecznego kodowania w cyklu programistycznym- poprawa poziomu bezpieczeństwa aplikacji internetowychMyśl jak haker - twórz bezusterkowe zabezpieczenia![O autorze]Andrew Hoffman jest starszym inżynierem do spraw bezpieczeństwa w Salesforce.com.
Specjalizuje się w zabezpieczeniach drzewa DOM i JavaScriptu. Pracował z dostawcami wszystkich najważniejszych przeglądarek, a także z organizacjami TC39 i WHATWG. Bada na dodatek zagadnienia „bezstanowych (bezpiecznych/czystych) modułów”, umożliwiających wykonywanie kodu JavaScript przy widocznie zmniejszonym ryzyku.
