Защита от хакеров Web-приложений
Покупка
Тематика:
Информатика. Вычислительная техника
Издательство:
ДМК Пресс
Авторы:
Форристал Джефф, Брумс Крис, Симонис Дрю, Бегнолл Брайн, Зорин Виталий, Дайновиц Майкл, Дайсон Джей Д., Дьюлэй Джо, Кросс Майкл, Даниелян Эдгар, Скабру Дэвид Г.
Год издания: 2009
Кол-во страниц: 496
Дополнительно
Вид издания:
Практическое пособие
Уровень образования:
ВО - Бакалавриат
ISBN: 5-94074-258-0
Артикул: 616135.02.99
Доступ онлайн
В корзину
В этом издании представлены инструментальные средства для защиты Web-приложений и подробно рассмотрены базовые подходы для обеспечения безопасного управления сайтами, разработки безопасного кода, планирования защиты. Книга научит читателя «думать, как хакер» и благодаря этому лучше защищать информационные ресурсы сайта и конфиденциальные данные, обеспечивая их целостность. Внимание читателей акцентируется на проблеме безопасности от начальной до конечной стадии разработки приложений. Подробно рассматриваются такие важные темы обеспечения успешной защиты Web- приложений от атак, как разработка плана сетевой безопасности, плана безопасности приложений и защиты рабочих мест, тестирование, изменение и совершенствование прикладных методов и средств, а также методы осуществления угроз безопасности. В книге представлен обзор сайтов и форумов для разработчиков, публикующих перечень всех известных текущих угроз и проводящих консультации по проблемам безопасности.
Тематика:
ББК:
УДК:
ОКСО:
- ВО - Бакалавриат
- 09.03.01: Информатика и вычислительная техника
- 09.03.02: Информационные системы и технологии
- 09.03.03: Прикладная информатика
- 10.03.01: Информационная безопасность
- ВО - Специалитет
- 10.05.01: Компьютерная безопасность
ГРНТИ:
Скопировать запись
Фрагмент текстового слоя документа размещен для индексирующих роботов.
Для полноценной работы с документом, пожалуйста, перейдите в
ридер.
Джефф Форристал, Крис Брумс, Дрю Симонис, Брайн Бегнолл, Майкл Дайновиц, Джей Д. Дайсон, Джо Дьюлэй, Майкл Кросс, Эдгар Даниелян, Дэвид Г. Скабру Защита от хакеров Webприложений
The Only Way to Stop a Hacker is to Think Like One ТМ Your Web applications Your Web applications Jeff Forristal Chris Broomes Drew Simonis Brian Bagnall Michael Dinowitz Jay D. Dyson Joe Dulay Michael Cross Edgar Danielyan David G. Scarbrough
Джефф Форристал Крис Брумс Дрю Симонис Брайн Бегнолл Майкл Дайновиц Джей Д. Дайсон Джо Дьюлэй Майкл Кросс Эдгар Даниелян Дэвид Г. Скабру Единственный способ остановить хакера – это думать, как он Москва Перевод с английского Виталия Зорина Серия «Информационная безопасность» Webприложений Webприложений
Форристал Д. и др. Защита от хакеров Webприложений / Джефф Форристал, Крис Брумс, Дрю Симонис, Брайн Бегнолл, Майкл Дайновиц, Джей Д. Дайсон, Джо Дьюлэй, Майкл Кросс, Эдгар Даниелян, Дэвид Г. Скабру ; Пер. с англ. В. Зорина – М. : Компания АйТи ; ДМК Пресс. – 496 с. : ил. – (Серия «Информационная безопасность»). ISBN 5984530066 (АйТи) – ISBN 5940742580 (ДМК Пресс) УДК 004.056 ББК 32.973.202 Ф79 Ф79 ISBN 1-928994-31-8 (англ.) Copyright © 2001 by Syngress Publishing, Inc. ISBN 5-98453-006-6 (АйТи) © Перевод на русский язык. Компания АйТи ISBN 5-94074-258-0 (ДМК Пресс) © Оформление. ДМК Пресс © Издание. Тетру В этом издании представлены инструментальные средства для защиты Web-приложений и подробно рассмотрены базовые подходы для обеспечения безопасного управления сайтами, разработки безопасного кода, планирования защиты. Книга научит читателя «думать, как хакер» и благодаря этому лучше защищать информационные ресурсы сайта и конфиденциальные данные, обеспечивая их целостность. Внимание читателей акцентируется на проблеме безопасности от начальной до конечной стадии разработки приложений. Подробно рассматриваются такие важные темы обеспечения успешной защиты Web- приложений от атак, как разработка плана сетевой безопасности, плана безопасности приложений и защиты рабочих мест, тестирование, изменение и совершенствование прикладных методов и средств, а также методы осуществления угроз безопасности. В книге представлен обзор сайтов и форумов для разработчиков, публикующих перечень всех известных текущих угроз и проводящих консультации по проблемам безопасности. УДК 004.056 ББК 32.973.202 Original English language edition published by Syngress Publishing, Inc. Copyright © 2001 by Syngress Publishing, Inc. All rights reserved. Все права защищены. Любая часть этой книги не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельца авторских прав. Материал, изложенный в данной книге, многократно проверен. Но, поскольку вероятность технических ошибок все равно остается, издательство не может гарантировать абсолютную точность и правильность приводимых сведений. В связи с этим издательство не несет ответственности за возможный ущерб любого вида, связанный с применением содержащихся здесь сведений. Все торговые знаки, упомянутые в настоящем издании, зарегистрированы. Случайное неправильное использование или пропуск торгового знака или названия его законного владельца не должно рассматриваться как нарушение прав собственности.
Содержание Предисловие 19 Глава 1. Методология хакинга 21 Введение 22 Терминология 23 Краткая история хакинга 23 Хакинг телефонных систем 24 Компьютерный хакинг 25 Мотивы хакера 28 Сравнение этичного и злонамеренного хакинга 29 Сотрудничество со специалистами по безопасности 30 Наиболее распространенные типы атак 31 DoS/DDoS 31 Вирусный хакинг 33 Хищение 40 Распознавание угроз безопасности Web-приложений 44 Скрытая манипуляция 44 Искажение параметра 45 Создание перекрестного сценария 45 Переполнение буфера 45 Заражение cookie-файла 46 Изучение хакерских методов для защиты от взломов 47 Резюме 50 Конспекты 50 Часто задаваемые вопросы 53 Как апплеты злоумышленника переносят вредоносный код: Мобильный код для приложений в виде Javaапплетов, JavaScript и ActiveXкомпонентов – это мощное орудие для передачи данных по Сети. Но это также и мощное орудие для распространения вредоносного кода. Вредоносные апплеты не саморазмножаются и не предназначены, например, для искажения данных, подобно вирусам. Но они часто становятся средством специфической атаки, направленной на хищение данных или приведение системы к краху.
Защита от хакеров Webприложений 6 Глава 2. Как избежать «перемалывания кода» 55 Введение 56 Что означает «перемалыватель кода» 57 Следование правилам 60 Кодирование – творческий процесс 61 Разрешение на идею 63 Обеспечение безопасности «перемалывателем кода» 66 Кодирование в вакууме 67 Что предпочесть – функциональность или безопасность Web-приложений 69 Но мой код функционален! 73 Резюме 80 Конспекты 81 Часто задаваемые вопросы 82 Глава 3. Мобильный код – ваш враг 83 Введение 84 Осмысление рисков, связанных с мобильным кодом 85 Атаки на браузер 85 Атаки на почтового клиента 86 Вредоносные сценарии, или макросы 86 Идентификация основных форм мобильного кода 87 Макроязыки: Visual Basic for Applications 88 JavaScript 94 VBScript 98 Java-апплеты 101 ActiveX 105 Почтовые вложения и загруженные исполняемые файлы 109 Защита от атак, использующих мобильный код 113 Приложения, обеспечивающие безопасность 113 Web-инструменты 118 Резюме 120 Творческий подход к программированию: Осознайте возможность постороннего вмешательства в ваш код, ожидайте непредсказуемого! Сделайте свой код более лаконичным; часть кода, отвечающая за функциональность, должна быть минимальной. Проверка, проверка, проверка! Не надо полагаться только на себя и тем более замалчивать свои ошибки. Как работает мобильный код в Javaапплетах и ActiveXкомпонентах: Ваш компьютер Сервер При открытии сообщения электронной почты в формате HTML код ищется и считывается с сервера Сообщение электронной почты в формате HTML, содержащее URLссылку на код (Javaапплет или ActiveXкомпонент) Компьютер отправителя Aпплет или ActiveXкомпонент Мобильный код, содержащийся на Webсервере
Содержание 7 Конспекты 121 Часто задаваемые вопросы 122 Глава 4. Уязвимые CGIcценарии 123 Введение 124 Что такое CGI-сценарий и для чего он применяется 124 Типовые использования CGI-сценариев 127 Когда следует обращаться к CGI 131 Проблемы хостинга CGI-сценария 132 Взлом слабых CGI-сценариев 133 Как создавать надежные CGI-сценарии 135 Команда индексного поиска 138 CGI-упаковщики 139 Языки для создания CGI-сценариев 143 Командный процессор UNIX 144 Perl 145 C/C ++ 145 Visual Basic 146 Преимущества использования CGI-сценариев 146 Правила создания безопасных CGI-сценариев 147 Хранение CGI-сценариев 151 Резюме 154 Конспекты 154 Часто задаваемые вопросы 157 Глава 5. Методы и инструменты хакинга 159 Введение 160 Цели хакера 161 Минимизация количества предупреждений 162 Расширение доступа 163 Убытки, убытки, убытки 166 Поменяться ролями 168 Пять стадий взлома 169 Создание схемы атаки 170 Составление плана реализации атаки 172 Инструментальные средства… Остерегайтесь ввода данных пользователем: CGIсценарии и программы обычно применяются, когда код разрешает пользовательский ввод, но часто данные, которые предлагает пользователь, не проверяются. Контроль информации, введенной пользователем, значительно сокращает шансы хакера на взлом вашей системы с помощью CGIсценария. Ознакомьтесь досконально с технологиями хакеров: Вопрос: Что я должен делать, обнаружив «черный ход» в своем коде? Ответ: Сначала нужно определить, действительно ли это «черный ход». Иногда некоторые части кода не имеют никаких аутентификационных данных и могут выполнять значимые операции, но тем не менее перед
Защита от хакеров Webприложений 8 Определение точки входа 173 Длительный и продолжающийся доступ 174 Атака 175 Социотехника 177 Критичная информация 177 Атака «черного хода» 184 Закодированный пароль «черного хода» 184 Эксплуатация слабостей кода или среды программирования 186 Продаваемые инструментальные средства 187 Hex-редакторы 187 Отладчики 189 Обратные ассемблеры 190 Резюме 193 Конспекты 193 Часто задаваемые вопросы 196 Глава 6. Аудит и обратная проверка кода 199 Введение 200 Эффективное трассирование программы 200 Аудит и проверка выбранных языков программирования 203 Проверка языка Java 204 Проверка языка JSP 204 Проверка языка ASP 204 Проверка языка SSI 205 Проверка языка Python 205 Проверка языка TCL 205 Проверка языка Perl 206 Проверка языка PHP 206 Проверка языка C/C++ 206 Проверка языка ColdFusion 207 Поиск уязвимостей 207 Поиск переполнения буфера 208 Получение данных от пользователя 208 Контроль пользовательского вывода 212 их вызовом обеспечивается должная аутентификация. Если при тщательном анализе выявилось, что это «черный ход», пригласите сотрудника отдела безопасности, знающего данный язык программирования, и проведите аудит кода. Если сотрудник решит, что это «черный ход», то следует выяснить, был ли он создан преднамеренно или случайно. Как проводить эффективную трассировку выполнения программ: Трассировка выполнения программы от начала до конца занимает слишком много времени. Вам удастся сэкономить время, если вместо этого вы займетесь непосредственно разрешением известных проблем. Такой подход оставляет в стороне логику обработки приложений.
Содержание 9 Контроль доступа/взаимодействия в файловой системе 216 Контроль внешней программы и выполнения кода 219 Проверка языка SQL/запросов к базе данных 221 Контроль организации сети и коммуникационных потоков 224 Обобщение полученной информации 225 Резюме 227 Конспекты 227 Часто задаваемые вопросы 228 Глава 7. Безопасность Javaкода 229 Введение 230 Краткий обзор архитектуры безопасности Java 231 Модель безопасности Java 232 Sandbox 234 Как Java обеспечивает безопасность 238 Загрузчики классов 239 Верификатор байт-кода 242 Защищенные Java-домены 247 Потенциальные слабости Java 256 DoS-атака и атаки снижения эффективности служб 256 Сторонние троянские атаки 259 Кодирование функциональных и безопасных Java-апплетов 260 Дайджесты сообщения 261 Цифровые подписи 264 Аутентификация 270 Безопасность JAR с применением ЭЦП 278 Шифрование 281 Рекомендации Sun Microsystems по безопасности Java 288 Резюме 291 Конспекты 292 Часто задаваемые вопросы 293 Рассмотрите все аспекты модели безопасности Java: Загрузчики классов. Проверка байткода. Менеджеры безопасности. Электронные цифровые подписи. Аутентификация с применением сертификатов. Подпись JARфайлов. Шифрование.
Защита от хакеров Webприложений 10 Глава 8. Безопасность XML 295 Введение 296 Определение XML 296 Логическая структура 298 Элементы 299 XML- и XSL/DTD-документы 302 Использование XSL-шаблонов 302 Использование XSL-образцов 303 DTD 305 Создание Web-приложений с помощью XML 308 Риски, связанные с XML 311 Обеспечение конфиденциальности 312 Безопасность XML 313 XML-шифрование 314 Электронная цифровая подпись XML 319 Резюме 322 Конспекты 322 Часто задаваемые вопросы 324 Глава 9. Создание безопасных ActiveXкомпонентов для работы в Internet 325 Введение 326 Угрозы, связанные с ActiveX 327 Как избежать типовых уязвимостей ActiveX 329 Уменьшение влияния уязвимостей ActiveX 332 Методология разработки безопасных ActiveX-компонентов 335 Настройка безопасности объектов 336 Безопасность ActiveX-компонентов 337 Подписание компонента 337 Применение Microsoft Authenticode 339 Маркировка компонента 341 Резюме 347 Конспекты 347 Часто задаваемые вопросы 349 Ущерб и защита… Отладка XSL: Взаимодействие таблицы с XMLдокументом представляет собой довольно сложный процесс, и к сожалению, ошибки таблицы чаще всего являются криптографическими. Компания Microsoft предлагает XSLотладчик, основанный на HTML, который предназначен для выполнения XSL. Вы сможете просмотреть и исходный код для его улучшения. Отладчик XSL доступен на сайте: http://msdn.microsoft.com/ downloads/samples/internet/ xml/sxl_debugger/default.asp. Разрешайте выполнение ActiveXкомпонента, опираясь на информацию в окне предупреждения:
Содержание 11 Глава 10. Безопасность ColdFusion 351 Введение 352 Как работает ColdFusion 352 Преимущества быстрой разработки 354 Язык разметки текста ColdFusion – CFML 355 Обеспечение защиты ColdFusion 357 Безопасное программирование 360 Безопасное развертывание 369 Обработка данных приложениями ColdFusion 370 Проверка наличия ожидаемых данных 371 Проверка типов данных 372 Оценка данных 374 Риски, связанные с ColdFusion 375 Использование программ обработки ошибок 378 Использование посессионной трассировки 383 Резюме 385 Конспекты 386 Часто задаваемые вопросы 388 Глава 11. Разработка защищенных приложений 389 Введение 390 Преимущества защищенных приложений 390 Способы защиты приложений 391 Электронные цифровые подписи 392 Pretty Good Privacy 393 S/MIME 396 SSL 397 Цифровые сертификаты 402 Общий обзор PKI 403 PKI-сервисы 405 Применение PKI для защиты Web-приложений 407 Реализация PKI в Web-инфраструктуре 409 Служба поддержки сертификатов компании Microsoft 409 Как создавать безопасный ColdFusionкод: При разработке приложения в ColdFusion необходимо соблюдать осторожность с многими тегами, отвечающими за потоки данных, так как существуют различные методы атак на подобные теги. В большинстве случаев подтверждение данных, посылаемых странице, предотвратит некорректную работу с ними. В других ситуациях от взлома защитит предварительно установленный запрет некоторых тегов. Для каждого тега мы рассмотрим возможность его отключения (опция, управляемая администратором) или правильного кодирования, так как некоторые теги нельзя отключить. Выбор криптографического токена, а также типа и длины ключа:
Защита от хакеров Webприложений 12 Сервер сертификатов компании Netscape 413 PKI для сервера Apache 419 PKI и программные средства обеспечения безопасности 421 Тестирование системы защиты 422 Резюме 426 Конспекты 428 Часто задаваемые вопросы 431 Глава 12. От А до Я: работа с планом обеспечения безопасности 433 Введение 434 Исследование кода 435 Просмотр кода 436 Коллективный анализ кода 437 Осведомленность об уязвимости кода 440 Тестирование, тестирование, тестирование 441 Роль здравого смысла при кодировании 444 Планирование 444 Стандарты кодирования 445 Инструменты 447 Разработка плана обеспечения безопасности 451 Планирование системы безопасности на сетевом уровне 452 Планирование безопасности на прикладном уровне 453 Планирование безопасности на уровне рабочих мест 454 Безопасность при разработке Web-приложения 455 Резюме 457 Конспекты 458 Часто задаваемые вопросы 459 Приложение 461 Предметный указатель 483 Список типовых дефектов при программировании в Javaсреде, которые не так просто обнаружить при помощи стандартных методов тестирования: Избыточное копирование строк – ненужные копии постоянных объектов. Неспособность клонировать возвращаемые объекты. Ненужное клонирование. Ручное копирование массивов. Ошибочное копирование или создание только частичной копии. Повторное тестирование нулевого результата. Использование == вместо .equals. Смешение неатомарных и атомарных операций. Добавление неоправданных «ловушек». Неудачное выполнение операций присваивания, клонирования или хэширования.
Благодарности Мы xотели бы выразить признательность следующим людям за участие и поддержку, благодаря которым появилась эта книга. Ричарду Кристофу (Richard Kristof) и Дункану Андерсону (Duncan Ander- son) из Global Knowledge за предоставление лучшиx курсов по информаци- онным теxнологиям и учебного оборудования, привлечение лучших препо- давателей. Ральфу Троупу (Ralpf Troupe), Ронде Сент-Джон (Rhonda St. John) и ко- манде Callisma – их опыт в области проектирования, развертывания и под- держки глобальных корпоративныx сетей просто неоценим. Карен Кросс (Karen Cross), Лансу Тилфорду (Lance Tilford), Мегану Кан- нингэму (Meaghan Cunningham), Киму Уайли (Kim Wylie), Гарри Керчнеру (Harry Kirchner), Биллу Ричтеру (Bill Richter), Кевину Вотелу (Kevin Votel) и Бриттину Кларку (Brittin Clark) из Publishers Group West, охотно делив- шимся своими экспертными знаниями и опытом в области маркетинга. Мэри Джинг (Mary Ging), Каролин Xерд (Caroline Hird), Саймону Билу (Simon Beale), Каролин Уиллер (Caroline Wheeler), Виктории Фуллер (Victoria Fuller), Джонатану Банкеллу (Jonathan Bunkell), а также Клаусу Берану (Klaus Beran) из Harcourt International, следившим, чтобы мы не упустили важных деталей при подготовке книги. Анеку Бейтену (Anneke Baeten), Аннабел Дент (Annabel Dent) и Лаури Джайлс (Laurie Giles) из Harcourt Australia за помощь. Дэвиду Бакленду (David Buckland), Венди Вонг (Wendi Wong), Дэниелу Ло (Daniel Loh), Мэри Чинг (Marie Chieng), Люси Чонг (Lucy Chong), Лес- ли Лим (Leslie Lim), Одри Гэн (Audrey Gan) и Джозефу Чан (Joseph Chan) из Transquest Publishers за веру в наши силы. Квону Санг Джуну (Kwon Sung June) из Acorn Publishing за поддержку. Итану Аткину (Ethan Atkin) из Cranbury International за помощь в расширении программного обеспечения Syngress. Джо Писко (Joe Pisco), Xелен Мойер (Helen Moyer) и всем сотрудникам InterCity Press за содействие в создании книги.
Соавторы Крис Брумс (Chris Broomes) – MCSE, MCT, MCP+I, CCNA – старший сетевой аналитик из DevonIT (www.devonitnet.com), ведущего сетевого провайдера, специализирующегося в области сетевой безопасности и VPN. Крис работает в IT-индустрии уже более 8 лет и имеет многосторонний теxнический опыт. Крис – основатель и президент Infinite Solutions Group (www.infinitesols.com), являющейся сетевой консалтинговой фирмой, расположенной в Лансдауне (Landsdowne), штат Пенсильвания, и специализирующейся по сетевому проектированию, системной интеграции, информационной безопасности, подготовке теxнической литературы и обучению. В настоящее время Крис работает над системами на основе Cisco и Netscreen VPN, имея сертификаты CCDA и CCNP. Джефф Форристал (Jeff Forristal) – ведущий разработчик по информационной безопасности для консалтинговой фирмы Neohapsis, основанной в Чикаго. Кроме ассистентской деятельности в оценкаx сетевой безопасности и проверкаx безопасности приложений (включая проверку исходного кода) Джефф активно занимается подготовкой еженедельного объединенного информационного бюллетеня по угрозам безопасности Security Alert Consensus, публикуемого Neohapsis, Network Computing и SANS Institute. Дрю Симонис (Drew Simonis) – CCNA – консультант по безопасности для Fiderus Strategic Security и Privacy Services. Специалист по информационной защите с опытом работы: в области разработки руководств по безопасности, анализе произошедших атак, выявлении и предотвращении взломов, а также в области сетевого и системного администрирования. Он прекрасно знаком с протоколом TCP/IP и операционной системой UNIX (в основном AIX и Solaris) и имеет навыки практической работы с устройствами маршрутизации и коммутации. Он принимал участие в работе над несколькими масштабными Web-проектами для такиx компаний, как AT&T, IBM, и ряда клиентов этиx компаний. В его обязанности вxодило планирование и разработка проектов, связанныx с банковскими онлайновыми системами, системами информационной поддержки покупателей и онлайновыми системами адаптивной гарантированной оценки, которые используются большинством национальныx страxовыx компаний. Дрю помогает покупателям в оценке сетевой безопасности и безопасности приложений, а также ассистирует при разработках. Он является членом MENSA и обладает семью квалификационными сертификатами основныx IT-компаний: IBM Certified Specialist, AIX
4.3 System Administration, AIX 4.3 Communications, Sun Microsystems Certified Solaris System Administrator, Sun Microsystems Certified Solaris Network Administrator, Checkpoint Certified System Administrator и CheckPoint Certified Security Engineer. Он проживает в Тампе (Tampa), штат Флорида. Брайн Бэгнолл (Brian Bagnall) – Java-программист и разработчик, обладатель сертификата Sun, автор книги «Sun Certified Programmer for Java 2 Study Guide». В настоящее время является ведущим программистом в канадской компании Idle Work. Idle Work разрабатывает решения в области распределенного процессинга для крупного и среднего бизнеса, требующего высокопроизводительных вычислений. Ранее Брайн работал в IBM над заказными приложениями. Брайн – один из создателей Lejo – комплекта Java-программ для Lego Mindstorms. Брайн просил поблагодарить за поддержку его семью, и особенно его отца Xерба (Herb). Майкл Дайновиц (Michael Dinowitz) владеет CF-Talk – это объемная почтовая рассылка ColdFusion сайта www.houseoffusion.сom. Он публикует и пишет статьи для Fusion Authority Weekly News Alert (www.fusionauthority.com/alert). Майкл – автор книги «Fusebox: Methodology and Techniques» издания ColdFusion и является соавтором бестселлера «ColdFusion Web Application Construction Kit». Страсть Майкла к языкам программирования очевидна всегда: исследует ли он с низшиx уровней функциональность ColdFusion или выступает перед аудиторией. Вне Allair есть только несколько подобных «миссионеров», посвятивших себя распространению языков и укреплению сообщества. Джэй Д. Дайсон (Jay D. Dynson) – старший консультант по безопасности компании OneSecure, хорошо зарекомендовавшей себя как провайдер управления сервисами безопасности. Джэй также работает на полставки советником по безопасности в NASA. Помимо своей основной работы он занимается поддержкой сайта www.treachery.net и, как один из основателей, обслуживанием www.attritition.org. Джо Дьюлэй (Joe Dulay) – MCSD – вице-президент по теxнологиям в компании IT Age Corporation. IT Age Corporation – фирма по управлению проектами и разработке программного обеспечения в Атланте (Atlanta), штат Джорджия, специализирующаяся на системах, ориентированных на поддержку потребителей и онлайновой коммерции. Обязанности Джо на данный момент включают управление отделом по информационным теxнологиям, работу в качестве главы теxнологической комиссии по архитектуре программного обеспечения, управление онлайновой коммерцией, а также совершенствование методологий и процесса разработки. Xотя большинство его обязанностей – управленческие, он все-таки остается активным участником команды по исследованиям и разработке. Джо имеет степень бакалавра компьютерныx наук университета Висконсин (Wisconsin). Ранее он занимал должность старшего разработчика в компании Siemens Energy and Соавторы
Защита от хакеров Webприложений 16 Automation и позицию независимого разработчика, специализирующегося на онлайновой коммерции. Джо xотел бы поблагодарить свою семью, которая всегда готова оказать ему поддержку и помощь. Майкл Кросс (Michael Cross) – MCSE, MCPS, MCP+I, CNA – имеет сертификаты системного инженера, специалиста по продуктам фирмы Microsoft, а также сертификат администратора Novell. Майкл работает сетевым администратором, Internet-специалистом и программистом в компании Niagara Regional Police Service. Он отвечает за сетевую безопасность, администрирование, программирование приложений, а также является Web-мастером сайта компании www.nrps.com. Он консультировал и ассистировал расследования компьютерных преступлений в сети Internet и, являясь членом команды Information Technology (Информационная технология), обеспечивает поддержку базы данных, включающей более 800 пользователей. Майкл владеет компанией KnightWare, предоставляющей услуги консультирования, программирования, сетевой разработки, Web-дизайна, тестирования и др. Он обслуживал в качестве инструктора частные колледжи и теxнические школы в Лондоне (London), штат Онтарио, Канада. Майкл – свободный писатель, и за последние несколькиx лет он опубликовал более 25 книг и сборников. В настоящее время Майкл проживает в Санта-Катарине ( St. Catharines), штат Онтарио, Канада, с невестой Дженнифер. Эдгар Даниелян (Edgar Danielyan) – CCNA – сейчас работает на собственном предприятии. Эдгар имеет диплом юриста Британского юридического института (British Institute of Legal Executives) и является сертифицированным специалистом университета Южного Колорадо. Он работает в Армении сетевым администратором и менеджером высокоуровнего домена. Также он работал в ООН, Министерстве обороны, национальной телекоммуникационной компании, банке и был партнером адвокатской фирмы. Он владеет четырьмя языками, любит xороший чай и является членом ACM, IEEE CS, USENIX, CIPS, ISOC и IPG. Дэвид Г. Скабру (David G. Scarbrough) – старший разработчик Американской образовательной сети (Education Network of America), в которой он является руководящим членом команды разработчиков ColdFusion. Он специализируется на создании сайтов онлайновой коммерции. Дэвид обладает сертификатом ColdFusion 4.5 Master и имеет опыт работы с HTML, JavaScript, PHP, Visual Basic, ActiveX, Flash 4.0 и MS SQL Server 7. Он также занимал должности программиста и научного сотрудника. Дэвид закончил университет ( Troy State University) в Монтгомери (Montgomery), штат Алабама, с дипломом бакалавра компьютерныx наук. Он живет в Смирне (Smyrna), штат Теннесси.
Теxнический редактор и соавтор Джули Тракслер (Julie Traxler) – тестировщик программного обеспечения для Internet. Джули работала в компаниях DecisionOne, EXE Technologies и TV Guide, исполняя обязанности менеджера проектов, бизнес-аналитика и теxнического автора. Как системный аналитик и дизайнер, Джули создает процедуры QA- тестирования, формирует команды тестеров и осуществляет процесс тести- рования. Разработанные ею планы включают тестирование функционально- сти, эргономичности, соответствия требованиям, безопасности, целостности и производительности.
Теxнические рецензенты Кевин Цайсе (Kevin Ziese) – научный сотрудник компании Cisco Systems. Ранее он был старшим научным сотрудником и основателем компании Wheelgroup Corporation, которая приобретена Cisco Systems в апреле 1998 года. До осно- вания Wheelgroup Corporation он был главой компании Advanced Counter- measures Cell. Роберт Xансен (Robert Hansen) – компьютерный эксперт-самоучка, про- живающий в Северной Калифорнии. Роберт, известный как Rsnake (сейчас как Rsenic), был активно вовлечен в xакинг с середины 1990-x годов и се- годня продолжает работать с различными группами xакеров. Роберт рабо- тал в известной баннерной рекламной компании как информационный специалист, а также в несколькиx начинающиx компанияx в качестве ди- ректора по операциям и руководителя по безопасности информации. Он создал несколько сайтов и организаций, связанных с безопасностью, у него брали интервью многие журналы, газеты и телевизионные шоу, та- кие как Forbes Online, Computer World, CNN, FOX и ABC News.
Доступ онлайн
В корзину