Основы веб-хакинга: нападение и защита

7 февраля 2011

Отличная книга, за небольшие деньги. Очень легко читается. Автор не вдается в подробности что очень хорошо, так как мусолить мелочи на это уйдет масса времени. очень хорошо преподнесены примеры защиты и атаки на веб сайты. Масса примеров, можно практиковаться паралельно читая книги. Даже диск в комплекте с книгой, вообщем народ советую.

16 января 2011

Написать комментарий по книге Ю.Жукова «Основы веб-хакинга. Нападение и защита.» меня побудило то обстоятельство, что прочитав ее, я был буквально просто поражен, а потому таким образом хочу выразить поддержку автору. Следует отметить, что в последнее время появилось множество литературы по хакингу, и веб-хакингу в частности. В основном это направление представлено, конечно же, зарубежными авторами. Но, на мой взгляд, все эти книги (или по крайней-мере большинство из них), эксплуатируя модную тему, с целью набрать объем, грешат тем, что рассматривают по большей части психологию хакинга, что само по себе конечно тоже интересно. Но, во-первых, это уже как-то поднадоело, а во-вторых, что хуже всего, если честно – малоприменимо на практике. В книге Ю.Жукова все не так! Складывается ощущение, что автор все время боролся с собой, чтобы выложить нам максимум практичного, в действительности нужного, и при этом, все же пытаясь соблюсти основы жанра. Просто невероятно, насколько много всего полезного, именно с точки зрения практического применения, изложено здесь. Не считаю себя большим экспертом в области веб-хакинга, но не побоюсь сказать: лично я ничего подобного еще не встречал. Читая книгу, удивляешься тому, как можно было в таком небольшом объеме изложить материал так, что он понятен, и самое главное - интересен, одновременно как начинающему, так и опытному специалисту. Раньше я посчитал бы, что такое невозможно в принципе. Здесь (в книге) нет лишних слов! Автор сразу переходит к делу. Необычного в книге вообще очень много. Например, как правило, в подобных трудах для примера ограничиваются рассмотрением уязвимостей чуть ли не прошлого века. По такому же пути мог бы пойти и наш многоуважаемый автор. Но, мы видим, что все рассматриваемые примеры абсолютно актуальны. Мало того (что уже совсем неожиданно): автор раскрывает нам собственные секреты, найденных лично им уязвимостей. Подобную информацию нужно долго по крупицам собирать из множества источников. Не говоря уж о том, что хакеры, например, делятся ею между собой отнюдь не бесплатно, и потому в открытых источниках много не найдешь. И вот так, с легкостью, практически даром, это сейчас отдается нам – читателям. Автор использует для примеров нечто вроде стенда под Windows, применяя виртуальную машину, на которой он раскручивает не очень популярный Linux (в частности – так называемый DVL). Поэтому на первый взгляд может сложиться ложное впечатление, что книга полезна только для опытных «линуксятников» :-). Уверяю Вас, что это не так. Или не совсем так! Я не очень понимаю - как это так придумано и сделано автором, но складывается стойкое ощущение, что если вы до сих пор не занимались «никсами» - то все равно запросто разберетесь! И, мало того, сможете применить эти знания, при желании, в среде Windows. Неплохо в книге изложено и про PHP-инклуд, и про SQL-инъекции, и про межсайтовый скриптинг (XSS), и про взлом паролей, и т.д., и т.п… Вообще весь материал книги структурирован очень интересно и умело. Начиная от простого, и далее, к сложному - проходишь его на одном дыханье. И хотя автор является популизатором использования IT-технологий только «в мирных целях» :-), читая главу «исследование системы», чего греха таить, даже самому захотелось стать немного хакером. Венцом всего этого является блок-схема (алгоритм) получения контроля над сервером. Не знаю как у кого, а у меня теперь многие сложные вещи упорядочились в голове, именно благодаря этой блок схемы. Про всякие мелочи, и находки типа очень необходимого хакерского словарика, интересные истории с примерами из жизни, справочник по *nix-командам, и др. – я уж вообще помалкиваю… Правда, на мой взгляд, в книге все же есть один существенный недостаток: это то, что она посвящена именно веб-хакингу, и фактически только веб-хакингу (т.е., ровно тому, что заявлено заголовком). А хотелось бы большего, для полного комплекта, и в таком же умелом исполнении, почитать про хакинг, но уже с уклоном сетевого взаимодействия. Такой труд, в комплексе с тем, что мы уже видим, ихмо, мог бы стать фундаментальным (что-то типа учебника). Как говорится, будем надеяться, что продолжение следует…