XML szybko staje się uniwersalnym protokołem wymiany informacji pomiędzy systemami używającymi HTTP. HTML zapewne zachowa swoją pozycję języka opisującego wygląd dokumentów w sieci WWW, jednak tam, gdzie w grę wchodzą dane, XML jest dużo lepszym rozwiązaniem. Walidacja, czyli sprawdzenie poprawności dokumentu XML, to pierwsza zapora przed atakami hakerskimi. Te same właściwości, które czynią XML silnym i uniwersalnym narzędziem sprawiają, że jest on podatny na działania hakerów. Wiele zapór sieciowych nie filtruje dokumentów XML -- to kolejna przyczyna, dla której niepoprawne strukturalnie dokumenty mogą stanowić poważne zagrożenie dla systemów. "Hack Proofing XML. Edycja polska" objaśni Ci wszystkie niuanse bezpieczeństwa związane z technologiami XML i .NET.

1. Dowiesz się, kim są hackerzy
   Poznasz wyjaśnienie terminów: haker, cracker, black hat, phreaker i script kiddies -- nauczysz się rozpoznawać prawdziwe zagrożenia
2. Poznasz sposób, w jaki cenne dane mogą się wydostać na zewnątrz Dowiesz się, w jaki sposób bannery, komunikaty o błędach i analiza protokołów może dostarczyć ważnych informacji potencjalnym napastnikom
3. Nauczysz się budować poprawne dokumenty XML
   Zapoznasz się z celami, jakie postawili przed XML twórcy tego standardu i dowiesz się, w jaki sposób poprawność kodu XML może cię zabezpieczyć przed hakerami
4. Poznasz atak "czystym tekstem"
   To potężna broń hakerów, zabezpiecz przed nią swój system
5. Nauczysz się stosować podpis elektroniczny w dokumentach XML
   Specyfikacja podpisu elektronicznego w XML jest elastyczna i pozwala podpisywać w bezpieczny sposób rozmaite dokumenty, a nawet zasoby zewnętrzne
6. Dowiesz się, jak szyfrować XML
   Szyfrowanie to jedna z najważniejszych metod zabezpieczania dokumentów, pozwalająca dodatkowo sprawdzić, czy dokument nie był modyfikowany w czasie przesyłania; czy jest kompletny, a także kontrolować dostęp do danych zawartych w dokumencie
7. Zastosujesz system kontroli dostępu oparty na rolach
   Przekonasz się, że bezpieczny system operacyjny współdziałający z odpowiednio zabezpieczoną aplikacją stanowi najlepszą zaporę przeciwko zakusom hakerów
8. Poznasz ryzyko związane ze stosowaniem XML
   Zobaczysz, że architektura .NET i mechanizmy bezpieczeństwa w nią wbudowane mogą stanowić alternatywę w stosunku do "czystego" XML
9. Dowiesz się, jak zgłaszać błędy
   Kogo, kiedy i w jaki sposób informować o wykrytych dziurach w zabezpieczeniach? Jak wiele informacji ujawniać?

Podziękowania (7)
Autorzy (9)
Wstęp (13)
Rozdział 1. Zen obrony przed hakerami (17)

• Wprowadzenie (17)
• Tao hakera (17)
• Haker (18)
• Kraker (19)
• Script Kiddie (20)
• Phreaker (21)
• Black hat, white hat, co za różnica? (22)
• Gray hat (23)
• Rola hakera (24)
• Przestępca (24)
• Sztukmistrz (25)
• Specjalista od zabezpieczeń (26)
• Obrońca klientów (27)
• Aktywista praw obywatelskich (28)
• Cyberwojownik (29)
• Motywacje hakera (29)
• Uznanie (29)
• Podziw (30)
• Ciekawość (31)
• Władza i korzyści (31)
• Zemsta (32)
• Kodeks hakera (34)
• Podsumowanie (35)
• Rozwiązania w skrócie (36)
• Pytania i odpowiedzi (37)

Rozdział 2. Klasy ataków (39)

• Wprowadzenie (39)
• Identyfikacja i charakter klas ataków (39)
• Odmowa usługi (40)
• Przecieki informacji (47)
• Dostęp do systemu plików (52)
• Dezinformacja (54)
• Dostęp do plików specjalnych i baz danych (58)
• Zdalne uruchomienie dowolnego kodu (60)
• Rozszerzenie uprawnień (62)
• Metody szukania punktów podatnych na atak (65)
• Dowód poprawności idei (65)
• Standardowe techniki badawcze (68)
• Podsumowanie (76)
• Rozwiązania w skrócie (78)
• Pytania i odpowiedzi (79)

Rozdział 3. Podstawy języka XML (81)

• Wprowadzenie (81)
• Wprowadzenie do języka XML (82)
• Założenia XML-a (82)
• Jak wygląda dokument XML? (82)
• Tworzenie dokumentu XML (83)
• Struktura dokumentu XML (87)
• Poprawnie zbudowane dokumenty XML (87)
• Transformacja XML-a poprzez XSLT (88)
• Wykorzystanie wzorców przez XSL (91)
• XPath (93)
• Podsumowanie (94)
• Rozwiązania w skrócie (94)
• Pytania i odpowiedzi (95)

Rozdział 4. Typ dokumentu - kontrola poprawności (97)

• Wprowadzenie (97)
• Definicje typu dokumentu i poprawnie zbudowane dokumenty XML (98)
• Schemat i poprawne dokumenty XML (101)
• Wprowadzenie do ataków tekstem jawnym (104)
• Ataki tekstem jawnym (106)
• Sposoby kontroli poprawności XML-a (109)
• Kontrola poprawności wprowadzanego tekstu (110)
• Kontrola poprawności dokumentu lub komunikatu (115)
• Podsumowanie (123)
• Rozwiązania w skrócie (126)
• Pytania i odpowiedzi (127)

Rozdział 5. Podpisy cyfrowe w XML-u (129)

• Wprowadzenie (129)
• Zasady działania podpisu cyfrowego (129)
• Podstawowe pojęcia podpisów cyfrowych i uwierzytelniania (130)
• Zabezpieczanie za pomocą podpisów cyfrowych XML (134)
• Przykłady podpisów XML (134)
• Podpisywanie części dokumentu (143)
• Przekształcanie dokumentu za pomocą XPath (144)
• Przekształcanie dokumentu za pomocą XSLT (145)
• Zarządzanie listami podpisanych elementów za pomocą manifestów (147)
• Ustalanie tożsamości za pomocą X.509 (149)
• Algorytmy wymagane i zalecane (150)
• Ostrzeżenia i pułapki (151)
• Zestawy narzędzi producentów (152)
• Podsumowanie (153)
• Rozwiązania w skrócie (154)
• Pytania i odpowiedzi (156)

Rozdział 6. Szyfrowanie w XML-u (157)

• Wprowadzenie (157)
• Rola szyfrowania w bezpieczeństwie przesyłanych wiadomości (158)
• Bezpieczeństwo wymagane przy przesyłaniu wiadomości (158)
• Metody szyfrowania (163)
• Jak stosować szyfrowanie w XML-u? (170)
• Transformacje XML-a przed zaszyfrowaniem (173)
• Schemat procesu szyfrowania (174)
• Praktyczne zastosowanie szyfrowania (175)
• Podpisywanie tekstu jawnego zamiast szyfrogramu (176)
• Szyfrogram nie pozwala na kontrolę poprawności jawnego tekstu (178)
• Szyfrowanie a odporność na kolizje (179)
• Podsumowanie (179)
• Rozwiązania w skrócie (180)
• Pytania i odpowiedzi (180)

Rozdział 7. Kontrola dostępu oparta na rolach (183)

• Wprowadzenie (183)
• Mechanizm filtrowania z analizą stanu (183)
• Filtrowanie pakietów (184)
• Brama warstwy aplikacji (185)
• Proces FTP (186)
• Technologie zapór sieciowych i XML (187)
• Najpierw analiza stanu (187)
• Ocena zmian stanu (189)
• Wpływ ustawień domyślnych na bezpieczeństwo (191)
• Kontrola dostępu oparta na rolach i implementacje wymuszania typu (192)
• NSA - architektura Flask (194)
• SELinux (197)
• Wykorzystanie w XML-u technik kontroli dostępu opartej na rolach (202)
• Kiedy dokonywać oceny? (205)
• Ochrona integralności danych (206)
• RBAC i Java (207)
• Kontrola poprawności obiektów ActiveX (210)
• Narzędzia pomagające w implementacji mechanizmów RBAC (210)
• Podsumowanie (215)
• Rozwiązania w skrócie (216)
• Pytania i odpowiedzi (217)

Rozdział 8. .NET i bezpieczeństwo XML-a (219)

• Wprowadzenie (219)
• Zagrożenia związane z używaniem XML-a w .NET Framework (220)
• Problem poufności (220)
• Wewnętrzne zabezpieczenia .NET - realna alternatywa (221)
• Uprawnienia (222)
• Uczestnik (223)
• Uwierzytelnienie (224)
• Autoryzacja (224)
• Zasady bezpieczeństwa (224)
• Bezpieczeństwo typologiczne (224)
• Bezpieczeństwo dostępu kodu (225)
• Model bezpieczeństwa dostępu kodu w .NET (225)
• Bezpieczeństwo oparte na rolach (240)
• Uczestnicy (241)
• Kontrola zabezpieczeń opartych na rolach (244)
• Zasady bezpieczeństwa (246)
• Tworzenie nowego zestawu uprawnień (248)
• Zmiany w strukturze grup kodu (253)
• Zabezpieczanie Remoting (259)
• Kryptografia (259)
• Narzędzia zabezpieczeń (262)
• Zabezpieczanie XML-a - najważniejsze wskazówki (262)
• Szyfrowanie w XML-u (262)
• Podpisy cyfrowe w XML-u (267)
• Podsumowanie (269)
• Rozwiązania w skrócie (271)
• Pytania i odpowiedzi (275)

Rozdział 9. Zgłaszanie problemów związanych z bezpieczeństwem (279)

• Wstęp (279)
• Dlaczego należy zgłaszać problemy związane z bezpieczeństwem? (280)
• Pełne ujawnienie (281)
• Kiedy i komu zgłosić problem? (284)
• Komu zgłaszać problemy związane z bezpieczeństwem? (284)
• Jak wiele szczegółów publikować? (287)
• Publikowanie kodu exploitu (287)
• Problemy (288)
• Podsumowanie (290)
• Rozwiązania w skrócie (291)
• Pytania i odpowiedzi (292)

Dodatek A Hack Proofing XML - rozwiązania w skrócie (295)

• Rozdział 1. Zen obrony przed hakerami (295)
• Rozdział 2. Klasy ataków (297)
• Rozdział 3. Podstawy języka XML (298)
• Rozdział 4. Typ dokumentu - kontrola poprawności (299)
• Rozdział 5. Podpisy cyfrowe w XML-u (300)
• Rozdział 6. Szyfrowanie w XML-u (302)
• Rozdział 7. Kontrola dostępu oparta na rolach (303)
• Rozdział 8. .NET i bezpieczeństwo XML-a (303)
• Rozdział 9. Zgłaszanie problemów z bezpieczeństwem (307)

Skorowidz (309)

• tagi:

  Tag cloud

  Windows XP PL. Podstawy obsługi systemu Adobe Acrobat 9/9 PL. Oficjalny podręcznik Sześć ram myślowych CSS. Leksykon kieszonkowy Po prostu Fedora Core 1 Agile Software Development. Gra zespołowa. Wydanie II CorelDRAW Graphics Suite 11 PL. Kompendium SQL. Ćwiczenia praktyczne Microsoft Exchange Server 2007. Księga eksperta Adobe Flash i PHP. Biblia eXtreme programming system wymiany linkow Windows 7 PL. Ćwiczenia praktyczne Windows 95. Tajny raport Układy mikroprocesorowe. Przykłady rozwiązań Photoshop 4 w praktyce Oko w oko z Adobe Photoshop CS3 Finale 2005. Edytor nutowy. Praktyczne projekty no host USB. Uniwersalny interfejs szeregowy Windows Me. Ćwiczenia praktyczne katalog stron Informatyka Europejczyka. Poradnik metodyczny dla szkoły podstawowej Oracle. Optymalizacja wydajności Hack Proofing XML. Edycja polska Adobe Dreamweaver CS3 z ASP, ColdFusion i PHP. Oficjalny podręcznik Excel 2007 PL. Ilustrowany przewodnik ABC tworzenia stron WWW Excel. Programowanie dla profesjonalistów Sudoku. 101 łamigłówek dla zaawansowanych Fedora Core 2. Biblia 906 Windows 98 PL AutoCAD 12 dla początkujących. Wersja angielska Gąski Fotografia cyfrowa. Kurs Myślę, więc jestem. 50 łamigłówek wspomagających myślenie lateralne Access. Programowanie w VBA Bezpieczeństwo w Windows 2000. Czarna księga Gdynia Informatyka Europejczyka. Zeszyt ćwiczeń dla szkoły podstawowej, kl. IV - VI. Edycja: Windows Vista, Linux Ubuntu, MS Office 2007, OpenOffice.org. Część I Debian GNU/Linux STL. Leksykon kieszonkowy Przetestuj ją sam! Steve Krug o funkcjonalności stron internetowych Instrumenta computatoria. Wybrane architektury komputerów XML. Księga eksperta Adobe Photoshop CS/CS PL. Oficjalny podręcznik Tablice informatyczne. XML Windows XP PL. Księga eksperta PHP. Bezpieczne programowanie Flash 4. Księga Eksperta GIS czyli mapa w komputerze Język C++. Metaprogramowanie za pomocą szablonów Access 2007 PL w biurze i nie tylko Word 2007 PL. Pierwsza pomoc Animacja cyfrowych twarzy Perl. Zaawansowane programowanie brak hosta MCSE Core 4 zestaw 3ds max. Leksykon kieszonkowy Optymalizacja systemu Windows Bezpieczeństwo w sieci JavaScript i DHTML. Receptury Photoshop CS3 PL. Ilustrowany przewodnik Windows Millennium Edition Novell Netware 4 - użytkowanie i administrowanie t. II, z uwzględnieniem wersji 4.11 Agile. Wzorce wdrażania praktyk zwinnych C++ dla programistów gier. Wydanie II Tablice informatyczne. Flash MX 2004 ActionScript niezarejestrowana strona AutoCAD. Biblioteka symboli MS Office 2000 i 2002/XP. Tworzenie własnych aplikacji w VBA Delphi 2006. Ćwiczenia praktyczne Direct3D. Programowanie grafiki trójwymiarowej w DirectX. Biblia PHP 5 i MySQL. Zastosowania e-commerce akwaria forum PHP5, Apache i MySQL. Od podstaw Wysoko wydajne MySQL. Optymalizacja, archiwizacja, replikacja. Wydanie II Excel. Profesjonalna analiza i prezentacja danych Oracle8i w sieci HTML i XHTML dla każdego Podczele C++. Inżynieria programowania ABC fotografii cyfrowej i obróbki zdjęć Internet. Przewodnik Windows Vista PL. Ilustrowany przewodnik AutoCAD. Profile hutnicze J2EE. Stosowanie wzorców projektowych 3D Studio MAX 3. Doskonałość i precyzja. Suplement Excel 2007 PL. Analiza danych, wykresy, tabele przestawne. Niebieski podręcznik Fotografia cyfrowa. Ćwiczenia praktyczne