miércoles, agosto 23, 2017

Nuevo Libro: "Hacking Web Applications: Client-Side Attacks" de @0xWord

Ayer ya se puso a la venta el nuevo libro de 0xWord, titulado "Hacking Web Applications: Client-Side Attacks" y escrito por el gran Enrique Rando, que ya tiene en su haber la participación en los libros de "Hacking con Buscadores", "Hacking Web Applications: SQL Injection" y "Hacking Web Technologies", además de decenas de artículos escritos por aquí.
El texto se centra en algo fundamental en los test de intrusión, como son los Client-Side Attacks, y que tantas veces hemos visto como primera fase de un APT de muchos de los grandes incidentes de seguridad que llegan a los medios de comunicación.

En palabras del propio autor, el libro tiene la siguiente descripción:
"Usuarios, navegadores y aplicaciones web. Cada cual con sus propios problemas, formando un curioso triángulo. Personas que, como suele decirse, son el eslabón más débil de la ya de por sí frágil cadena de la seguridad. Navegadores cuya complejidad, siempre en aumento, los convierte en poco menos que nuevos sistemas operativos con fallos y características susceptibles de ser usadas con fines ilegítimos. Y programas que, de forma casi inevitable, presentan fallos. 
Por si fuera preciso empeorar las cosas, todo esto ocurre no en el Centro de Proceso de Datos, donde todo es más fácil de gestionar, sino en los puestos de usuario. Lejos del confortable control del personal informático, quizá a cientos de kilómetros gracias a la conectividad que Internet proporciona. Lejos del servidor de aplicaciones, sí, pero interactuando con la parte cliente de éstas. Lejos del servidor de bases de datos, pero cerca, muy cerca, de los datos y de la gestión que de ellos se realiza. 
Este escenario presenta sus propias vulnerabilidades y sus ataques característicos. Quizá los más conocidos sean los de Cross Site Scripting, sobre los que tanto se ha hablado y cuyas repercusiones no siempre se ha sabido explicar. Pero hay otros, menos populares pero igual de devastadores, como Cross Site Request Forgery o Clickjacking. O técnicas como las de Typosquatting, abuso de nombres de dominio internacionalizados o Tabnabbing. O manipulaciones de la interfaz de usuario de los navegadores y de las características, cada vez más avanzadas, que éstos ofrecen gracias a las APIs asociadas a HTML 5. O prácticas habituales en el desarrollo de aplicaciones web que pueden tener consecuencias inesperadas. 
Este libro trata de esos “enemigos olvidados”, presentándolos a través una serie de pruebas de concepto que ponen en evidencia no sólo lo fácil que puede llegar a ser explotarlos sino también cuán graves que pueden ser sus efectos."
Pero para que veas los detalles completos, tienes el índice del libro subido a SlideShare.


Éste es el libro número 50 de 0xWord, un hito para nosotros, así que probablemente hagamos algún acto en Madrid (o en Móstoles) para celebrarlo, en el que podáis estar con muchos de los escritores para compartir experiencias y charlas.

Saludos Malignos!

6 comentarios:

  1. Para tener 50, no se os ve nada mal. 😝😝😝
    ¡A por los 100! Mi mas sincera enhorabuena a todos los involucrados en 0xWord.

    ResponderEliminar
  2. Es como la continuación de Hacking Web Technologies? O es totalmente diferente?
    Disculpad mi ignorancia, pero veo que tratan temas iguales o parecidos.
    Quitarme esta duda.

    ResponderEliminar
  3. La página de México ehack.mx no sirve para comprar, alguién sabe que esta pasando?????????????

    ResponderEliminar
  4. Jorge Alberto Gallegos Cardona, puedes escribirnos a ventas@ehack.mx para atender cualquier intención de compra. La página está en mantenimiento, hasta el 31 estará completamente operativa, saludos.

    ResponderEliminar
  5. sabeis de donde se bajan los archivos que pide este libro para las practicas desde 0xword

    ResponderEliminar