کتاب امنیت سامانه های اینترنتی (جلد اول)
معرفی کتاب امنیت سامانه های اینترنتی (جلد اول)
کتاب امنیت سامانههای اینترنتی (جلد اول) نوشتهی دافید استوتارت و مارکوس پینتو با ترجمهی علیرضا طالبی اثری است که بهطور کامل بر امنیت برنامههای کاربردی وب و شیوههای حمله و دفاع در این فضا تمرکز کرده است. موسسه فرهنگی هنری دیباگران تهران این کتاب را منتشر کرده است. نویسندگان که خود تستر نفوذ حرفهای هستند بر پایهی تجربهی عملی چندساله، فرایند کشف، تحلیل و بهرهبرداری از نواقص امنیتی در وباپلیکیشنها را قدمبهقدم توضیح دادهاند و در کنار آن به سازوکارهای دفاعی و روشهای اصلاح آسیبپذیریها پرداختهاند. در این کتاب، امنیت از زاویهی «هکر برنامهی وب» دیده شده است؛ یعنی کسی که میخواهد بداند یک برنامهی تحت وب چگونه شکسته میشود تا بتواند آن را بهتر محافظت کند. ساختار اثر از مبانی امنیت وب و تکامل برنامههای کاربردی اینترنتی شروع میشود و بهتدریج به مباحث تخصصیتری مانند احراز هویت، مدیریت جلسه، کنترل دسترسی، تزریق در پایگاه داده، حمله به منطق برنامه، حملات سمت کاربر و درنهایت روششناسی کامل تست نفوذ وب میرسد. متن کتاب سرشار از مثالهای واقعی، سناریوهای حمله، معرفی ابزارها و تمرینهای پایانی فصلهاست و در کنار آن به آزمایشگاههای آنلاین ارجاع داده شده است تا خواننده بتواند آموختههای خود را در محیطی کنترلشده تمرین کند. نسخهی الکترونیکی این اثر را میتوانید از طاقچه خرید و دانلود کنید.
درباره کتاب امنیت سامانه های اینترنتی (جلد اول)
کتاب امنیت سامانههای اینترنتی (جلد اول) با تمرکز بر امنیت برنامههای کاربردی وب، تصویری کلی از وضعیت امروز وب، تهدیدها و ضعفهای رایج و همچنین سازوکارهای دفاعی ارائه کرده است. دافید استوتارت و مارکوس پینتو ابتدا نشان دادهاند که چگونه وب از صفحات ایستا به برنامههای پیچیدهای تبدیل شده که تراکنشهای مالی، مدیریت منابع انسانی، ایمیل، همکاری سازمانی، برنامهریزی منابع سازمانی و حتی نرمافزارهای سنتی دسکتاپ را پوشش میدهند. در همین مسیر توضیح داده شده که چرا این تحول، سطح حمله را بهسمت لایهی برنامه جابهجا کرده است؛ جایی که یک خط کد معیوب میتواند دروازهی ورود به زیرساختهای حیاتی سازمان باشد. نویسندگان با تکیهبر تجربهی تست نفوذ روی صدها برنامهی واقعی، آمار و دستهبندیهایی از آسیبپذیریهای پرتکرار ارائه کردهاند؛ از جمله نقص در احراز هویت، مدیریت جلسه، کنترل دسترسی، تزریق SQL، اسکریپت بینسایتی، نشت اطلاعات و جعل درخواست متقاطع. در این میان، به این سوءبرداشت رایج هم پرداخته شده که استفاده از SSL یا اسکنهای خودکار PCI بهتنهایی میتواند امنیت را تضمین کند. کتاب امنیت سامانههای اینترنتی (جلد اول) در ادامه وارد ساختار درونی یک وباپلیکیشن میشود و نشان میدهد که امنیت چگونه بر سه ستون اصلی مدیریت دسترسی کاربر (احراز هویت، مدیریت جلسه، کنترل دسترسی)، مدیریت ورودی کاربر و مدیریت رفتار برنامه در برابر مهاجم استوار است. در فصلهای ابتدایی، مفاهیم پایهای مانند تکامل برنامههای وب، مزایای فنی وباپلیکیشنها، مشکل اصلی «ورودی دلخواه کاربر»، نقش مرورگر و پروتکل HTTP، و روندهای جدیدی مثل وب ۲ و رایانش ابری توضیح داده شده است. سپس کتاب بهصورت نظاممند به سراغ فصلهایی میرود که هرکدام یک بخش از سطح حمله را پوشش میدهند: نقشهبرداری از برنامه و کشف سطح حمله، دور زدن کنترلهای سمت کلاینت، حمله به احراز هویت، مدیریت جلسه و کنترل دسترسی، تزریق در پایگاههای داده و سایر ذخیرهگاههای داده، حمله به اجزای زیرساختی (سیستمعامل، فایلسیستم، سرویسهای پشتیبان)، براندازی منطق برنامه، حملات علیه کاربران (XSS، CSRF و تکنیکهای دیگر)، خودکارسازی حملات سفارشی، بهرهبرداری از افشای اطلاعات، حمله به برنامههای بومی کامپایلشده، معماری برنامه و سرور وب، بررسی کد منبع، جعبهابزار هکر وب و درنهایت روششناسی گامبهگام برای اجرای یک تست نفوذ کامل. در سراسر کتاب، مثالهای واقعی، سناریوهای «امتحانش کن!» و ارجاع به آزمایشگاههای آنلاین، محتوای نظری را به تمرین عملی پیوند داده است.
خلاصه کتاب امنیت سامانه های اینترنتی (جلد اول)
هستهی فکری کتاب امنیت سامانههای اینترنتی (جلد اول) بر یک گزارهی ساده بنا شده است: «تمام ورودیهای کاربر غیرقابل اعتماد هستند.» از این نقطه، نویسندگان کل معماری امنیت وب را باز میکنند و نشان میدهند که چگونه همین اصل، تقریباً همهی آسیبپذیریهای مهم وباپلیکیشنها را توضیح میدهد. ابتدا تکامل وب از صفحات ایستا به برنامههای تعاملی و سپس به سرویسهای ابری و برنامههای چندسکویی مرورگر/موبایل ترسیم شده است. در این مسیر، مزایای فنی وباپلیکیشنها (پروتکل سبکوزن HTTP، عدم نیاز به نصب کلاینت، قدرت مرورگرها، سادگی نسبی فناوریهای توسعه) در کنار هزینهی امنیتی آنها قرار گرفته است: هر کاربر میتواند هر دادهای را در هر ترتیبی به سرور بفرستد و از هر ابزاری بهجای مرورگر استفاده کند. کتاب در ادامه سه ستون اصلی مدیریت دسترسی را باز میکند: احراز هویت، مدیریت جلسه و کنترل دسترسی. ابتدا نشان داده میشود که یک فرم ورود ظاهراً ساده چگونه میتواند از دهها نقطه آسیبپذیر باشد؛ از رمزهای عبور ضعیف و حدسزدنی تا منطق ناقص در ثبتنام، بازیابی حساب و تغییر رمز. سپس مدیریت جلسه توضیح داده میشود؛ جایی که توکنهای جلسه، تولید، نگهداری، انقضا و انتقال آنها به هدف اصلی مهاجم تبدیل میشود. بعد از آن، کنترل دسترسی بهعنوان لایهای که باید تصمیم نهایی «اجازه/عدماجازه» را برای هر درخواست بگیرد بررسی شده است؛ لایهای که بهدلیل پیچیدگی نقشها، سطوح دسترسی و منطق تجاری، مملو از خطاست. بخش بعدی کتاب به مدیریت ورودی کاربر اختصاص دارد. نویسندگان انواع ورودی (فیلدهای فرم، کوکیها، هدرها، پارامترهای پنهان، دادههای ذخیرهشده در پایگاه داده و فایلسیستم) را فهرست کردهاند و رویکردهای مختلف اعتبارسنجی را مقایسه کردهاند؛ از لیست سیاه تا لیست سفید و رمزگذاری خروجی. نشان داده میشود که چرا فیلترهای مبتنیبر لیست سیاه معمولاً با تغییرات جزئی در ورودی یا کدگذاری متفاوت دور زده میشوند و چرا باید اعتبارسنجی دقیق، متناسب با زمینهی استفادهی داده و همراه با رمزگذاری مناسب در زمان خروجی انجام شود. در فصلهای میانی، کتاب وارد دستههای مشخص حمله میشود: دور زدن کنترلهای سمت کلاینت، حمله به احراز هویت، مدیریت جلسه و کنترل دسترسی، تزریق SQL و سایر تزریقها (سیستمعامل، XPath، LDAP، XML، سرویسهای وب، ایمیل)، حمله به منطق برنامه، اسکریپت بینسایتی و حملات دیگر علیه کاربران، خودکارسازی حملات سفارشی، بهرهبرداری از افشای اطلاعات، حمله به برنامههای بومی، معماری و سرور وب. در هر دسته، الگوی کلی این است: توضیح مفهوم، نشاندادن نمونههای واقعی، تشریح روش کشف، نحوهی بهرهبرداری و در پایان، پیشنهادهای ایمنسازی. در بخش پایانی، کتاب از سطح «تکنیک» به سطح «فرایند» میرود: معرفی ابزارهای کلیدی هکر وب، محدودیتهای اسکنرهای خودکار، روش بررسی کد منبع و در نهایت یک روششناسی ساختاریافته که همهی مراحل یک تست نفوذ وب را از نقشهبرداری تا بهرهبرداری و گزارشنویسی کنار هم میگذارد.
چرا باید کتاب امنیت سامانه های اینترنتی (جلد اول) را بخوانیم؟
کتاب امنیت سامانههای اینترنتی (جلد اول) چند ویژگی دارد که آن را برای کسانی که با وباپلیکیشنها سروکار دارند مهم میکند. نخست اینکه نویسندگان از زاویهی یک تستر نفوذ حرفهای به موضوع نگاه کردهاند؛ بنابراین تمرکز اصلی روی کارهایی است که یک مهاجم واقعاً انجام میدهد، نه صرفاً روی فهرستکردن مفاهیم نظری. در هر فصل، مراحل مشخص کشف آسیبپذیری، شیوهی تحلیل و نحوهی بهرهبرداری توضیح داده شده است و در کنار آن، پیشنهادهای اصلاحی مطرح شده است. این ترکیب «حمله/دفاع» کمک میکند خواننده هم منطق مهاجم را بفهمد و هم بداند در طراحی و پیادهسازی چه چیزهایی را باید تغییر دهد. دوم اینکه آن کتاب امنیت را فقط به چند ضعف مشهور مثل تزریق SQL یا XSS محدود نکرده است. از منطق تجاری و کنترل دسترسی گرفته تا معماری، سرور وب، برنامههای بومی، افشای اطلاعات، حملات خودکار و حتی نقش ایمیل در بازیابی حساب، همگی در یک تصویر یکپارچه قرار گرفتهاند. این نگاه کلنگر باعث میشود امنیت وب نه بهعنوان مجموعهای از «ترفندها» بلکه بهعنوان یک فرایند و معماری دیده شود. سوم اینکه متن کتاب سرشار از مثالهای واقعی، سناریوهای «امتحانش کن!» و ارجاع به آزمایشگاههای آنلاین است؛ یعنی خواننده میتواند بلافاصله پس از مطالعهی هر مبحث، آن را در محیطی عملی تمرین کند. در نهایت، فصل پایانی که روششناسی کامل هک برنامههای وب را جمعبندی کرده است، برای کسانی که میخواهند تست نفوذ را بهصورت حرفهای و ساختاریافته انجام دهند یک نقشهی راه روشن فراهم کرده است.
خواندن این کتاب را به چه کسانی پیشنهاد میکنیم؟
کتاب امنیت سامانههای اینترنتی (جلد اول) به کسانی پیشنهاد میشود که در توسعه، نگهداری یا ارزیابی امنیت برنامههای تحت وب نقش دارند؛ از جمله برنامهنویسان وب، مهندسان امنیت، تسترهای نفوذ، مدیران سیستم و معماران نرمافزار. همچنین به دانشجویان و علاقهمندان حوزهی امنیت اطلاعات که میخواهند از سطح مفاهیم کلی فراتر بروند و با فرایند واقعی کشف و بهرهبرداری از آسیبپذیریهای وب آشنا شوند، پیشنهاد میشود. برای تیمهای فنی سازمانهایی که سرویسهای حساس مالی، سازمانی یا ابری را روی وب ارائه میکنند نیز این کتاب میتواند منبعی برای طراحی و بازبینی معماری امنیتی سامانههایشان باشد.
حجم
۱۰٫۶ مگابایت
سال انتشار
۱۴۰۴
تعداد صفحهها
۴۰۶ صفحه
حجم
۱۰٫۶ مگابایت
سال انتشار
۱۴۰۴
تعداد صفحهها
۴۰۶ صفحه