The Tangled Web
Un guide pour sécuriser les applications web modernes
Le livre le plus profond jamais écrit sur le modèle de sécurité étrange et accumulé du navigateur web.
En tant qu'Associé Amazon, nous percevons une commission sur les achats éligibles. Le lien ci-dessus est sponsorisé.
- Auteurs
- Michal Zalewski
- Publié
- 2011
- Éditeur
- No Starch Press
- Pages
- 320
- Langue
- English
Table des matières
18 chapitres · 30 sectionsPartie I : Anatomie du web
- 1
Security in the World of Web Applications
- 2
It Starts with a URL
- Uniform Resource Locator structure
- Reserved characters and percent-encoding
- Common URL schemes
- Resolution of relative URLs
- 3
Hypertext Transfer Protocol
- Basic syntax of HTTP traffic
- HTTP request types
- Server response codes
- Keepalive sessions
- Chunked data transfers
- Caching behavior
- HTTP cookie semantics
- HTTP authentication
- Protocol-level encryption and client certificates
- 4
Hypertext Markup Language
- Basic concepts behind HTML documents
- Understanding HTML parser behavior
- Entity encoding
- HTTP/HTML integration semantics
- Hyperlinking and content inclusion
- 5
Cascading Style Sheets
- 6
Browser-Side Scripts
- Basic characteristics of JavaScript
- Standard object hierarchy
- Script character encoding
- Code inclusion modes and nesting risks
- The living dead: VBScript
- 7
Non-HTML Document Types
- 8
Content Rendering with Browser Plug-ins
Partie II : Fonctionnalités de sécurité du navigateur
- 9
Content Isolation Logic
- Same-origin policy for the DOM
- Same-origin policy for XMLHttpRequest
- Same-origin policy for Web Storage
- Same-origin policy for cookies
- Plug-in security rules
- Coping with ambiguous or unexpected origins
- Other uses of the origin concept
- 10
Origin Inheritance
- 11
Life Outside Same-Origin Rules
- 12
Other Security Boundaries
- 13
Content Recognition Mechanisms
- 14
Dealing with Rogue Scripts
- 15
Extrinsic Site Privileges
Partie III : Aperçu de l'avenir
- 16
New and Upcoming Security Features
- 17
Other Browser Mechanisms of Note
- 18
Common Web Vulnerabilities
Prérequis
Vous devez déjà savoir ce que sont XSS, CSRF et la same-origin policy. Ce livre est pour la deuxième passe, pas la première.
À lire si
Quiconque construit, attaque ou audite des systèmes basés sur le navigateur et veut savoir pourquoi les règles sont ce qu'elles sont.
À éviter si
Débutants, Zalewski suppose que vous avez déjà touché la surface et voulez le substrat. Commencez plutôt par PortSwigger Academy.
Points clés
- Le modèle de sécurité du web n'est pas conçu ; il est excavé.
- Origines, schémas et limites de confiance sont les seules vraies abstractions ; tout le reste est une négociation poreuse.
- Spécifications et réalité divergent constamment, et la divergence est là où vivent les bugs.
Notes
Se lit comme le rapport d'un anthropologue sur une culture dans laquelle il a vécu. Plus ancien que la moitié des fonctionnalités de plateforme qui comptent aujourd'hui (pas de service workers, COOP/COEP, Trusted Types), mais le matériel ancien est le sol d'où pousse tout le nouveau matériel. Le seul livre qui explique pourquoi le navigateur est ce qu'il est.
Que lire avant
Que lire avant The Tangled Web →Intermédiaire · 2023
Black Hat GraphQL
Aleks et Farhi sur attaquer GraphQL spécifiquement : abus d'introspection, batching, attaques profondeur et complexité, défauts d'auth, et les différences avec REST qui font des pentests GraphQL leur propre discipline.
Intermédiaire · 2022
Hacking APIs
L'approche structurée de Corey Ball pour attaquer les APIs REST et GraphQL : énumération, défauts d'auth, business logic, mass assignment, et le harnais de test autour.
Intermédiaire · 2011
The Web Application Hacker's Handbook
La référence exhaustive du pentest applicatif web, complète mais devenue de plus en plus un document historique.
Que lire ensuite
Que lire après The Tangled Web →Avancé · 2006
The Art of Software Security Assessment
Référence de 1200 pages sur l'audit de codes C/C++ pour la sécurité : interactions mémoire et entiers complexes, pièges du langage, et comment les vulnérabilités émergent à la frontière entre couches.
Avancé · 2005
The Database Hacker's Handbook
La référence exhaustive 2005 de Litchfield, Anley, Heasman et Grindlay sur l'attaque et la défense d'Oracle, SQL Server, DB2, MySQL, PostgreSQL, Sybase et Informix — l'ère où le moteur de base de données lui-même était la cible facile.
Intermédiaire · 2023
Black Hat GraphQL
Aleks et Farhi sur attaquer GraphQL spécifiquement : abus d'introspection, batching, attaques profondeur et complexité, défauts d'auth, et les différences avec REST qui font des pentests GraphQL leur propre discipline.
Explorer des livres similaires
Alternatives à The Tangled Web →Intermédiaire · 2023
Black Hat GraphQL
Aleks et Farhi sur attaquer GraphQL spécifiquement : abus d'introspection, batching, attaques profondeur et complexité, défauts d'auth, et les différences avec REST qui font des pentests GraphQL leur propre discipline.
Intermédiaire · 2022
Hacking APIs
L'approche structurée de Corey Ball pour attaquer les APIs REST et GraphQL : énumération, défauts d'auth, business logic, mass assignment, et le harnais de test autour.
Intermédiaire · 2011
The Web Application Hacker's Handbook
La référence exhaustive du pentest applicatif web, complète mais devenue de plus en plus un document historique.