пятница, 3 февраля 2012 г.

Обзор книги: "The Tangled Web"

Люди занимающиеся практической информационной безопасностью безусловны знакомы с исследованиями Michal Zalewski, который практически является законодателем моды, всего того, что касается безопасности современных веб-браузеров. Так вот совершенно недавно вышла  за его авторством замечательная книга "The Tangled Web: A Guide to Securing Modern Web Applications".

“Thorough and comprehensive coverage from one of the foremost experts in browser security.” - Tavis Ormandy, Google Inc.


В информационной безопасности есть такие области для которых очень редко выходят стоящие книги из разряда "must read". Вот и веб-безопасность относится к таким областям, литература вроде бы есть вокруг, но стоящее чтиво в этой области большая редкость. И именно о такой стоящей книге пойдет сегодня речь ;)


От себя могу сказать, что книга полезна не только специалистам по веб-безопасности, но и вообще обязательна к прочтению абсолютно для всех, кто стремится быть в курсе современных тенденций в области развития кибератак. Помимо всего прочего книга написана очень последовательно и систематизировано, а так же покрывает наверное все области современных client-side векторов для веб-атак. 

Part I: Anatomy of the Web
Первая часть книги раскрывает информацию об уязвимостях связанных с HTTP протоколом, представлением URL адресов и иже с ними.

Chapter 2: It Starts with a URL
В данной главе автор раскрывает уязвимости связанные с различным представлением и интерпретацией URL. Многие могут счесть это не очень важным, но после прочтения этой главы вы точно обидитесь в обратном.

Chapter 3: Hypertext Transfer Protocol
Эта глава целиком и полностью посвящена протоколу HTTP, причем рассматриваются далеко не банальные вещи, которые могут быть многим не видны на поверхности. Сессии, печеньки и много чего еще. 

Chapter 4: Hypertext Markup Language
Вы думали HTML прост, скучен и не интересен. О, как вы заблуждались, вы даже не представляете сколько ошибок кроется в парсерах этого, казалось бы синтаксически простого, языка разметки. Если кто вдруг не верит, тогда почитайте информацию о CSRF уязвимостях. 

Chapter 5: Cascading Style Sheets
Эта глава дополняет предыдущую информацией о тонкостях парсинга CSS и XBL.

Chapter 6: Browser-Side Scripts
В данной главе раскрывается темная сторона динамического веба, а точнее таких технологий, как JavaScript DOM, Visual Basic и тонкие места касательно них.

Chapter 7: Non-HTML Document Types
А тут автор рассматривает такие популярные вектора атак, как:  non-HTML XML, SVG, WML, RSS Atom feeds. Несколько сжато, но для начала вполне достатчоно.

Chapter 8: Content Rendering with Browser Plug-ins
Эта глава заключительная в первой части книги и рассматривает возможные уязвимости связанные с такими дополнениями к веб-браузерам, как Adobe Flash, Microsoft Silverlight и т.п. 

Part II: Browser Security Features
Chapter 9: Content Isolation Logic
Здесь автор поднимает очень важную тему связанную с политиками доступа и раскрытию информации через веб-барузер. Подробно рассмотрен вектор направленный на нарушение same origin policy в различных его реинкарнациях, DNS hijacking и политики безопасности для активности расширений браузера. 

Chapter 10: Origin Inheritance
Небольшая глава о проблемах псевдоадресации (pseudo URL) и проблемах связанных с ней.

Chapter 11: Life Outside Same-Origin Rules
Интересная глава посещенная другой стороне вектора связанного с same origin policy. Наложению различных невидимых фреймов и кражей данных, что например актуально для платежных систем и клиент-банков.

Chapter 12: Other Security Boundaries
Рассматриваются типы атак с использованием нарушения политик и раскрытия информации такие, как DNS Rebinding, сканирование портов и прочие.

Chapter 13: Content Recognition Mechanisms
Дальше речь идет о корректной обработке MIME types, Content-Type и таких вещей как загрузка файлов.

Chapter 14: Dealing with Rogue Scripts
DoS и тайминг атаки раскрываются в этой главе. Описаны различные методы взаимодействия через пользовательский интерфейс.

Chapter 15: Extrinsic Site Privileges
В заключительной главе этой части описываются политики, которые применяются для разграничения доступа по зонам в IE.

Part III: A Glimpse of Things to Come
Chapter 16: New and Upcoming Security Features
В это главе раскрываются различные типы XSS, как они работают и принципы защиты. Так же затронута тема обхода XSS-фильтров. 

Chapter 17: Other Browser Mechanisms of Note
Здесь затрагивается вопрос различных веб-протоколов с точки зрения тонких моментов на которые редко обращают внимание.

Chapter 18: Common Web Vulnerabilities
Заключительная глава книги, которая представляет собой небольшой справочник по современным типам веб-уязвимостей.