вторник, 15 сентября 2015 г.

How to Break Software Security. James A. Whittaker


Ссылка на Amazon.

Продолжение серии «How to Break...». На этот раз Джеймс рассказывает о тестировании безопасности. Лучше всего читать после прочтения базовой книги, «How to Break Software», а не как я, все наоборот Smile :)

Структура книги: верхнеуровневые классы проверок, например, на уровне кода или GUI, а потом сами атаки. Всего 19 атак.

Каждая атака содержит:

  • Вступление.
  • Когда атаку следует применять.
  • Как это делать.
Книга — отличная вводная в тестирование защищенности! Если вы знаете английский, разумеется Smile :) Написана не слишком простым, но вполне доступным языком.

Я, как практически полный ноль в тестировании защищенности, узнала много нового! Уверена, что, если я перечитаю книжку спустя год, найду еще столько же нового. Так как часть информации явно прошла "мимо ушей", рановато еще...

А вот простейшие проверки — очень интересно! Например, проследить за библиотечками, которые использует приложение и ограничить к ним доступ. А то и подменить на вредноносные!

Можно манипулировать регистром, можно подменять файлы, которым приложение привыкло доверять (системные файлы). Закладок в книге наделала много, не буду портить вам впечатление спойлерами. Автор описывает простейшие инъекции на примере "вот бери да подставляй", а также сложные, для применения которых наддо включать мозг!

Плюшка книги — диск в комплекте. На диске программа Holodeck — приложение, которое поможет вам провести часть атак через понятный пользовательских интерфейс. Да да, это почти та самая "серебрянная пуля", о которой мечтает каждый тестировщик. Для начала вполне даже. А потом уже углябляйтесь в эту сферу и проводите проверки самостоятельно.

В общем, рекомендую как тем, кто только хочет познакомиться с тестированием безопасности, так и тем, кто в нем уже работает. Продвинутые тоже найдут тут интересные мысли и идеи!

2 комментария: