Прочитал книгу "Безопасность веб-приложений. Разведка, защита, нападение". Она мне очень понравилась - в ней описываются основные уязвимости веб-приложений и защиты от них. Сама книга, как понятно из названия, разделена на три больших части:
- Разведка - описываются способы создания веб-приложений и способы исследования их хакером
- Нападение - описываются различные виды атак, таких как XXS, CSRF и другие
- Защита - способы предотвратить атаки
Мне немного не хватило подробностей в разделе "Нападение" - хотелось бы больше информации про уязвимости на уровне сети и инфраструктуры, а также в разделе "Защита" - не хватило информации про защиту сети и про работу с персональными данными (хотя, возможно, это немного и не по теме книги)
В целом это отличное введение в ИБ, и книгу я точно советую всем разработчикам, и может быть тестировщикам. Читается легко, книга небольшая. В общем, 8/10
#книги
- Разведка - описываются способы создания веб-приложений и способы исследования их хакером
- Нападение - описываются различные виды атак, таких как XXS, CSRF и другие
- Защита - способы предотвратить атаки
Мне немного не хватило подробностей в разделе "Нападение" - хотелось бы больше информации про уязвимости на уровне сети и инфраструктуры, а также в разделе "Защита" - не хватило информации про защиту сети и про работу с персональными данными (хотя, возможно, это немного и не по теме книги)
В целом это отличное введение в ИБ, и книгу я точно советую всем разработчикам, и может быть тестировщикам. Читается легко, книга небольшая. В общем, 8/10
#книги
👍6
Решил также писать сюда о различных инструментах, которыми пользуюсь для упрощения своей жизни. И первый инструмент - это виртуальная доска Padlet - padlet.com. Вообще я обожаю виртуальные досочки и использую несколько разных, но Padlet является самым быстрым, простым и понятным решением. Конечно, у него есть недостатки - достаточно мало шаблонов для досок, да и в целом он не подойдёт для сложных ментальных карт или больших схем, но для чего-то простого, небольшого - самое то. Например, борда по информационной безопасности, где я собираю различные источники по теме, таймлайн для пет-проекта или книжный вишлист.
Тут сказано, что в бесплатной версии доступно всего три доски, но это почему-то не мешает мне делать больше :) Подписка очень дешёвая, но купить её нельзя - сервис родом из Калифорнии.
В общем, рекомендую попробовать, возможно вы также найдёте применение для этого инструмента
#приложения
Тут сказано, что в бесплатной версии доступно всего три доски, но это почему-то не мешает мне делать больше :) Подписка очень дешёвая, но купить её нельзя - сервис родом из Калифорнии.
В общем, рекомендую попробовать, возможно вы также найдёте применение для этого инструмента
#приложения
👍6
Какая-то адски психоделическая презентация получается, и даже редис с редисом выглядит не смешно
👍4
Перехожу чуть чуть в сторону DevOps и инфраструктуры - прочитал книгу "Использование Docker".
Часть описанного в книге я уже применял на практике - к счастью, основы docker очень просто нагуглить, однако книга помогла мне систематизировать некоторые знания, а также я больше узнал о сетевой составляющей Docker, о внутреннем устройстве и об обнаружении сервисов.
Главным преимуществом книги является практика - на каждую рассматриваемую тему в книге есть понятные примеры и инструкции, которые также можно адаптировать и под свои проекты. Также описаны общие вопросы и рекомендации, связанные с безопасностью контейнеров, что очень полезно
Из недостатков - книга всё-таки больше для начинающих специалистов, и в ней очень мало внимания уделено моментам автоматизации работы с контейнерами, CI/CD и т.д. Ещё там описывается старая версия docker, возможно что-то в этой книге уже не очень актуально (хотя я прям ярко устаревших моментов не увидел). В целом книгу я рекомендую, буду пробовать применять на практике
#книги
Часть описанного в книге я уже применял на практике - к счастью, основы docker очень просто нагуглить, однако книга помогла мне систематизировать некоторые знания, а также я больше узнал о сетевой составляющей Docker, о внутреннем устройстве и об обнаружении сервисов.
Главным преимуществом книги является практика - на каждую рассматриваемую тему в книге есть понятные примеры и инструкции, которые также можно адаптировать и под свои проекты. Также описаны общие вопросы и рекомендации, связанные с безопасностью контейнеров, что очень полезно
Из недостатков - книга всё-таки больше для начинающих специалистов, и в ней очень мало внимания уделено моментам автоматизации работы с контейнерами, CI/CD и т.д. Ещё там описывается старая версия docker, возможно что-то в этой книге уже не очень актуально (хотя я прям ярко устаревших моментов не увидел). В целом книгу я рекомендую, буду пробовать применять на практике
#книги
👍7
Иногда прикольно залезать в исходники опен сурс программного обеспечения, но хотелось это делать из интереса, а не для того чтобы понять что от меня хочет апи этого продукта!
👍8
Формируем http request, заголовок авторизации есть
Но после отправки запроса заголовки магическим образом исчезают, зато появляется магический traceparent
Я перерыл исходники дотнета, подебажил и пришёл к выводу, что заголовки затирает
#кейсы
Но после отправки запроса заголовки магическим образом исчезают, зато появляется магический traceparent
Я перерыл исходники дотнета, подебажил и пришёл к выводу, что заголовки затирает
DiagnosticHandler во время обработки http-запроса, но какого...#кейсы
🤔1
Но в консольном приложении просто тупо затираются заголовки, новые не проставляются, ну и реквест без них всё равно уходит