Web Security for Developers
Real Threats, Practical Defense
Le primer côté développeur de Malcolm McDonald sur les problèmes classe OWASP, cadré autour de vraies attaques et défendu avec des patterns de code plutôt qu'avec des produits vendor.
En tant qu'Associé Amazon, nous percevons une commission sur les achats éligibles. Le lien ci-dessus est sponsorisé.
- Auteurs
- Malcolm McDonald
- Publié
- 2020
- Éditeur
- No Starch Press
- Pages
- 216
- Langue
- English
À lire si
Développeurs qui veulent comprendre la sécurité sans gens de la sécurité dans la boucle. McDonald est le rare auteur qui explique XSS, CSRF, SQLi, auth et sessions sans distractions de tooling offensif, dans le langage qu'un codeur en activité utilise.
À éviter si
Praticiens qui connaissent déjà OWASP à fond, ou lecteurs voulant de la profondeur sur les classes de bugs modernes (chaînes SSRF, prototype pollution, race conditions). Le livre est fondamental, pas avancé.
Points clés
- Le cadrage « real threats, practical defense » est le choix de design du livre et son mouvement pédagogique le plus fort ; chaque chapitre commence avec l'attaque et finit avec le pattern de code défensif.
- La sécurité web est principalement les mêmes douze erreurs depuis deux décennies ; une fois la taxonomie connue, les variantes modernes sont reconnaissables.
- Le chapitre sur la gestion de session et le chapitre sur le JS tiers sont les deux pièces au plus haut levier du livre pour les ingénieurs qui connaissent déjà les bases.
Notes
À coupler avec The Tangled Web (Zalewski) pour la profondeur conceptuelle sur le modèle de sécurité navigateur, et avec Bug Bounty Bootcamp (Li) pour la vue attaquant moderne. Le meilleur livre à assigner à un ingénieur backend lors de sa première semaine. Les diagrammes sont inhabituellement bons pour un titre sécurité No Starch ; ils récompensent la relecture.
Que lire avant
Que lire avant Web Security for Developers →Débutant · 2019
Foundations of Information Security
Le tour compact de Jason Andress du champ : confidentialité / intégrité / disponibilité, identification et authentification, contrôles réseau et OS, écrit pour nouveaux venus et disciplines adjacentes.
Débutant · 2021
How Cybersecurity Really Works
L'introduction douce et exercice-driven de Sam Grubb pour non-spécialistes qui ont besoin d'un modèle mental fonctionnel du comportement attaquant et d'une défense basique.
Débutant · 2020
Alice and Bob Learn Application Security
Le primer AppSec hands-on de Tanya Janca couvrant threat modeling, design sécurisé, code sécurisé, tests, déploiement et le côté social de la conduite d'un programme AppSec — à travers une structure narrative et amicale.
Que lire ensuite
Que lire après Web Security for Developers →Intermédiaire · 2021
Designing Secure Software
Loren Kohnfelder, l'auteur PKI original, sur comment tisser la pensée sécurité à travers exigences, design, implémentation et opérations plutôt que de la boulonner à la fin.
Intermédiaire · 2014
Threat Modeling
L'introduction de praticien d'Adam Shostack à la modélisation des menaces : STRIDE, arbres d'attaque, et comment intégrer la pratique au cycle de vie logiciel réel.
Intermédiaire · 2023
Black Hat GraphQL
Aleks et Farhi sur attaquer GraphQL spécifiquement : abus d'introspection, batching, attaques profondeur et complexité, défauts d'auth, et les différences avec REST qui font des pentests GraphQL leur propre discipline.
Explorer des livres similaires
Alternatives à Web Security for Developers →Intermédiaire · 2021
Designing Secure Software
Loren Kohnfelder, l'auteur PKI original, sur comment tisser la pensée sécurité à travers exigences, design, implémentation et opérations plutôt que de la boulonner à la fin.
Intermédiaire · 2014
Threat Modeling
L'introduction de praticien d'Adam Shostack à la modélisation des menaces : STRIDE, arbres d'attaque, et comment intégrer la pratique au cycle de vie logiciel réel.
Débutant · 2021
How Cybersecurity Really Works
L'introduction douce et exercice-driven de Sam Grubb pour non-spécialistes qui ont besoin d'un modèle mental fonctionnel du comportement attaquant et d'une défense basique.