Před časem kniha Hacking bez tajemství ukázala početné administrátorské obci, jak je pro patřičně zlomyslné nebo ctižádostivé jedince snadné proniknout do počítačových sítí a systémů. Ačkoliv je mezi administrátory stále hodně těch, kteří tuto krutou zkušenost dosud nemají za sebou, většina již snad začíná chápat nezbytnost firewallů, bezpečných konfigurací operačních systémů, svědomitého používání záplat od dodavatelů a dalších dříve opomíjených zásad bezpečnosti informačních systémů.

Naneštěstí i kvůli „konstrukčním“ nedokonalostem a výrobním chybám lze i firewally, bezpečnostní systém operačních systémů a nejnovější záplaty obejít, a to často i při jednoduchém útoku proti webové aplikaci. Ačkoliv jsou tyto prvky stále důležitými součástmi bezpečnostní infrastruktury, zjevně nemohou zastavit novou generaci útoků, jejichž frekvence se každým dnem zvyšuje.

Mnoho se „nadělalo“ kvůli zlomyslným programům a nebezpečí webových trojských koní. Tyto „salónní triky“ na uživatele byly skutečně triviální ve srovnání s pohromami způsobenými hackery napadajícími webové aplikace. Aerolinie byly poškozeny prodejem transatlantických letenek za pár dolarů, on-line dodavatelé vystavili platné údaje o platebních kartách miliónů svých zákazníků a nemocnice prozradily záznamy pacientů – to je jen pár příkladů. Útok na webovou aplikaci může zastavit celé podnikání – stačí k tomu pouze jedno dobře naplánované klepnutí myší.

Další ze série Hacking bez tajemství vás opět provede krok za krokem hackerskými metodami, ukáže vám, jak hackeři shromaždují potřebné informace, získávají tipy na potenciální cíle, identifikují slabá místa webových aplikací a řídí své útoky.

Dozvíte se například, jak hackeři postupují při útocích na:

- webovou autentizaci a autorizaci (využití hádání hesel, identifikátorů relací, cookies, skrytých tagů),

- správu stavu relace (metody na straně klienta i serveru),

- validaci vstupu (přeplnění vyrovnávací paměti, kanonizace, útoky pomocí skriptů),

- webová úložiště dat a webové služby,

- servery Apache a IIS,

- skripty,

- databázové zdroje SQL,

a mnohé další.

Autoři také detailně popisují, jak se proti takovým útokům bránit.