|
|
Les meilleurs livres Sécurité - web
Dernière mise à jour : 21/03/2012
- Chaînes d'exploits - Scénarios de hacking avancé et prévention
- SOA Security
- Sécurité PHP 5 et MySQL
- Google hacking - Mettez vos données sensibles à l'abri des moteurs de recherche
  |
Traducteur(s) : Isabelle Hurbain-Palatin Public visé : Intermédiaire Résumé de l'éditeurUn pirate informatique s'appuie rarement sur une unique attaque, mais utilise plutôt des chaînes d'exploits, qui impliquent plusieurs méthodes et attaques coordonnées, pour atteindre sa cible et arriver à ses fins. Ces chaînes d'exploits sont généralement complexes et difficiles à prévenir. Or la plupart des ouvrages de sécurité ne les couvrent pas, ou sinon de manière superficielle. Cet ouvrage présente en profondeur les principales chaînes d'exploits qui sévissent actuellement. A travers des exemples basés sur des stratégies d'attaques réelles, utilisant les outils actuels les plus courants et visant des cibles importantes comme des données bancaires ou de sécurité sociale, vous découvrirez le spectre complet des attaques, des réseaux sans-fil à l'accès physique en passant par l'ingénierie sociale. Dans chaque scénario, les exploits sont décortiqués un à un en vue d'expliquer la chaîne qui va conduire à l'attaque finale. Les mesures de prévention à appliquer pour éviter ces attaques vous sont ensuite exposés. Ainsi sensibilisé au mode opératoire des hackers et à leurs attaques sophistiquées, vous aurez toutes les clés pour vous protéger le plus efficacement possible.
Ecrit par trois experts en sécurité, le livre propose des scénarios d'attaques aux travers de 8 chapitres. Il met en avant un hacker nommé Phenix recevant diverses missions, qui par le biais de ses compétences, utilise les différentes chaînes d'exploits pour mener à bien ses objectifs. Le livre recouvre divers points liés au monde de la sécurité avec des exemples détaillés basés sur des stratégies d'attaque réelles. Utilisant les outils les plus courants (Netcat, Nmap, Metasploit, Core Impact, Kismet, etc...) et visant des cibles au contenu important (Banque, Secteur Médical, Club de Golf, etc...), cet ouvrage est présenté comme un éventail complet des différentes formes d'attaques possibles. Les sénarios d'attaques peuvent être vus comme une initiation au monde de la sécurité, mais en aucun cas comme une incitation au piratage. En effet, le lecteur compétant dans ce milieu pourra remarquer que certains outils utilisés par le personnage principal, peuvent parfois être détectés par des antivirus... Conclusion : Précis et concret, il peut servir de base d'exemple lors de TP encadrés ou de sensibilisation aux règles de sécurité.
Ce livre est destiné à ceux qui veulent avoir une idée plus claire sur la manière de raisonner et de procéder des hackers, leurs méthodes de récolte de donnée et leurs modes opératoires.
Ecrit par trois spécialistes du domaine, ce livre explique, à travers huit scénarios différents, comment un hacker peut utiliser de simples informations (comme le nom d'un responsable de département informatique d'une société, le centre d'intérêt de son employeur, ou même le nom d'un sous-traitant) et des utilitaires qu'on peut trouver facilement sur internet pour monter une attaque (une chaine d'exploits) qui peut engendrer des dégâts importants. Malgré toutes les techniques que nous révèlent les auteurs et l'ensemble d'outils de hacking cités à travers les différents scénarios, ce livre ne peut être considéré en aucun cas comme un manuel de piratage informatique, d'ailleurs le but principal du livre est d'inciter les lecteurs à adopter de meilleures méthodes de protection de données. Chaque chapitre de ce livre se termine par une section qui cite les points faibles et les failles permettant au hacker d'arriver à ses fins (collecte/vol de donnée, sabotage, .) ainsi qu'un ensemble de recommandations qui permettent d'y faire face. Bref, un très bon livre pour tous ceux qui travaillent dans un domaine où la sécurité informatique joue un rôle important et à tous ceux qui se soucient de la protection de leurs données électroniques. Très bon livre, très entraînant que j'ai fini en deux séances de lecture seulement. « Chaînes d'exploits : scénarios de Hacking avancé et prévention » se lit comme un roman où l'on suit les mésaventures de plus en plus douteuses d'un honnête informaticien qu'on fait chanter (sous peine de s'en prendre à la vie de sa compagne) pour le pousser à commettre des crimes de piratage. Il se prend au jeu et finit par en faire son métier... L'existence même de ce livre, chez des éditions aussi prestigieuses que Pearson, peut au premier abord étonner. On peut en effet se demander si le livre ne servirait pas davantage aux pirates en herbe qu'aux informaticiens chargés de la sécurité des SI, mais l'on se rend compte au fil de la lecture à quel point il est facile de se procurer sur Internet des outils et ressources pour pirater. Ce qui est nettement plus compliqué en revanche c'est de comprendre comment raisonnent et procèdent les pirates et quelles chaînes d'exploits sont-ils le plus souvent amenés à suivre et s'en prémunir. En ce sens, le livre remplit très bien sa mission en couvrant, progressivement, l'essentiel des techniques connues et moins connues, notamment pour les environnements Windows. En plus de permettre d'effectuer un audit complet de la sécurité de son entreprise, ce livre donne aussi des pistes que les chargés de sécurité des services informatiques peuvent suivre pour faire de la veille et rester à jour. Certains aspects du livre commencent toutefois à dater et le livre mérite à mon avis une nouvelle édition. Sommaire
330 pages,
1ère édition édition,
Septembre 2009
Éditions Pearson Education,
ISBN10 : 274402371X,
ISBN13 : 978-2744023712,
Format : 18,5 x 23, Couverture : Broché, Poids : 602 g, Intérieur : Noir et Blanc |
  |
Public visé : Intermédiaires / Expérimentés Résumé de l'éditeur
Anyone seeking to implement SOA Security is forced to dig through a maze of inter-dependent specifications and API docs that assume a lot of prior security knowledge on the part of readers. Getting started on a project is proving to be a huge challenge to practitioners. This book seeks to change that. It provides a bottom-up understanding of security techniques appropriate for use in SOA without assuming any prior familiarity with security topics.
Unlike most other books about SOA that merely describe the standards, this book helps readers learn through action, by walking them through sample code that illustrates how real life problems can be solved using the techniques and best practices described in the standards. It simplifies things: where standards usually discuss many possible variations of each security technique, this book focuses on the 20% of variations that are used 80% of the time. This keeps the material covered useful for all readers except the most advanced.
This book shows you
SOA et Sécurité, deux termes très présents et très importants dans le développement en entreprise. Le titre est donc très prometteur. Mais les auteurs réduisent tout de suite la portée du livre dans l'introduction.
En effet, ce livre n'explique pas l'architecture et les concepts SOA et n'expose pas toutes les notions de sécurité non plus. Le livre portant sur l'intersection de ces deux domaines, une connaissance minimale des deux sujets était nécessaire pour commencer, ce livre s'adresse donc à un public initié, mais sans pour autant expert. Cela dit, le livre est tout de même bien ficelé et intéressant. Il est composé de trois parties.
La première consiste en un rappel des bases de la SOA et de la sécurité par WebService : SOAP, SOAP Header, WS-Security.
La seconde partie présente les concepts de sécurité : authentification, autorisation, chiffrement,…
Cette section est particulièrement intéressante. Elle présente diverses pratiques (utilisateur/mot de passe, Kerberos, PKI ) tout en décrivant leurs avantages et inconvénients.
La dernière partie est légèrement plus complexe et traite réellement de la sécurité orientée service.
Encore une fois, les différentes implémentations d'un service de sécurité sont présentées ainsi que les technologies utilisées dans ce but (SAML, WS-Trust, … )
A la fin de la lecture, on a acquis bon nombre d'informations, mais il subsiste toutefois une impression d'insuffisance sur le sujet. Mais encore une fois, c'est volontaire. Au vu de la complexité des sujets, seules les bases sont présentées mais une multitude de liens sont fournis pour ceux qui désirent approfondir un sujet précis.
Au niveau des exemples, une implémentation basée sur Axis est fourni en fin de chapitre. C'est sans doute le seul bémol, Axis étant un peu vieillissant. Cependant, les exemples sont suffisamment explicites pour être adaptables facilement avec n'importe quel autre framework.
Ce livre est donc plus qu'intéressant, même si le titre " Introduction to SOA Security " aurait été plus représentatif.
English version :
SOA and security, two terms very present and important in the enterprise development. Due to this and its title, this book sounds very promising. However, the authors reduce immediately the scope of the book in the introduction.
Indeed, the book is not intended to explain the SOA architecture and concepts, neither all the security notions. The book is about the intersection of the two subjects and so a minimal knowledge of these is necessary. The book is aimed at an initiated public, but not an expert one.
However, the book is well put together and interesting. It is composed of three parts.
The first is a reminder of the basics of SOA and WebService security : SOAP Header SOAP, WS-Security.
The second part presents the concepts of security: authentication, authorization, encryption, ... This section is particularly interesting. It introduces various practices (user / password, Kerberos, PKI), while describing their advantages and disadvantages.
The last part is a little more complex and deals with real security-oriented service. Again, the different implementations of a security service are shown together with the technologies used for this purpose (SAML, WS-Trust, ...)
At the end of the reading, we have learnt lots of information, however there is still a feeling of weakness on the subject. But once again, it's voluntary. Given the complexity of the issues, only the fundamentals are presented, but many links are provided for those who wish to deepen a specific topic.
In terms of examples, an implementation based on Axis is provided at the end of the chapter. This is probably the only regret I have : Axis is a little old. However, the examples are explicit enough to be easily adapted with any other framework.
This book is more than interesting, even if the title "Introduction to SOA Security" would have been more representative.
Sommaire
500 pages,
1ère édition,
Juin 2008
Éditions Manning,
ISBN10 : 1932394680,
ISBN13 : 978-1932394689 |
 |
Public visé : Débutant-moyen Résumé de l'éditeurAprès avoir rappelé l'importance de principes fondamentaux tel celui de la défense en profondeur, cet ouvrage explique comment sécuriser une application professionnelle en PHP et MySQL à tous les niveaux, depuis la configuration du serveur jusqu'à la protection de la base de données MySQL, sans oublier toutes les vulnérabilités propres aux sites web dynamiques basés sur des langages de script. Maîtriser la sécurité pour les applications en ligne De nouvelles vulnérabilités apparaissent chaque jour dans les applications en ligne et les navigateurs. Pour mettre en place une politique de sécurité à la fois efficace et souple, sans être envahissante, il est essentiel de maîtriser les nombreux aspects qui entrent en jeu dans la sécurité en ligne : la nature du réseau, les clients HTML, les serveurs web, les plates-formes de développement, les bases de données... Autant de composants susceptibles d'être la cible d'une attaque spécifique à tout moment. Une référence complète et systématique de la sécurité informatique ?crit par deux experts ayant une pratique quotidienne de la sécurité sur la pile LAMP, ce livre recense toutes les vulnérabilités connues, les techniques pour s'en prémunir et leurs limitations. Très appliqué, il donne les clés pour se préparer à affronter un contexte complexe, où les performances, la valeur des données et la complexité des applications pimentent la vie des administrateurs responsables de la sécurité. Critique du livre par la rédaction (Therrode Pierre)
PHP et MySql sont les deux langages les plus utilisés dans la conception web.
Face aux menaces grandissantes liées aux pirates, il est bon de connaitre les moyens de s'en prémunir afin d'éviter de voir sa création utilisée à des fins néfastes.
C'est ce qu'offrent les auteurs dans la deuxième édition de l'ouvrage Sécurité PHP 5 et MySql.
Au fil de la lecture, on apprend les différentes méthodes pour palier aux failles de sécurité propres au développement Web.
En effet, le livre nous explique comment filtrer les données entrées par le visiteur (bon ou mauvais), à protéger les cookies, les formulaires de téléchargement ainsi qu'à se prémunir contre les attaques plus classiques (XSS, CRSF, Injection SQL, faille include, etc?).
Cette nouvelle édition offre au lecteur aussi bien néophyte que confirmé, un tour d'horizon très complet des principaux risques de sécurités d'un service Web.
Conclusion : Un livre agréable à lire dont les exemples pertinents en font un excellent guide des bonnes pratiques de la sécurité web.
Critique du livre par la rédaction (Lépine Jean-François) PHP et MySQL sont des technologies si utilisées sur Internet qu'il est toujours bon d'avoir en tête un aperçu des principaux risques auxquels ils sont soumis. C'est chose faite grâce à ce livre, agréable et facile à lire. Car cet ouvrage (dont la préface a été rédigée par ni plus ni moins que Rasmus Lerdorf, à qui on doit le langage PHP !), à feuilleter pour ses annexes précieuses ou à lire attentivement pour un apprentissage plus complet, offre un tour d'horizon assez complet des principaux risques liés à la sécurité d'une application web, et dirige, pour chaque risque, vers une solution adaptée pour s'en protéger. D'un très bon rapport qualité / prix, ce livre s'adresse tant aux développeurs débutants, qu'aux développeurs plus confirmés qui voudraient renforcer leurs connaissances en sécurité du web. S'il ne constitue pas une " Bible de la sécurité ", cet ouvrage reste cependant une porte ouverte vers une vaste collection de ressources et d'outils liés à la sécurité, et un excellent guide de bonne pratiques pour tous. Enfin, en plus d'un découpage du livre pertinent, agrémenté d'un grand nombre d'exemples, les auteurs s'appuient sur les dernières versions des langages et technologies qu'ils évoquent ; L'intérêt de cet ouvrage en est d'autant plus renforcé. Livre très agréable à lire, plus on avance et plus on a en envie d'en savoir ! Il est très bien structuré et on peut presque le lire comme un roman. On apprend petit à petit à connaître les différentes attaques et les méthodes pour s'en protéger. Les auteurs mettent particulièrement le filtrage des données en avant étant donné que c'est un élément clé dans la protection d'un site. Des attaques telles que XSS, CSRF ou les injections SQL sont traitées sans oublier le phishing ou autre méthode du genre. Ce livre est très intéressant car il met également l'accent sur la configuration du serveur pour atteindre un bon niveau de sécurité. On se rend compte que la protection d'un site commence avant tout par une configuration robuste du serveur, car une grande quantité des valeurs par défaut ne sont pas adaptées. Je dirais que le grand plus de ce livre est son annexe qui permet en quelques minutes de voir les points principaux auxquels il faut faire attention pour garantir un bon niveau de sécurité. Toutes les fonctions PHP relatives à la sécurité sont également listées, très pratique ! Conclusion: Très bon livre, à conseiller aux personnes qui n'ont pas encore de bonnes notions de sécurité. Pourrait même convenir à un débutant. Critique du livre par la rédaction (Olivier Van Hoof) PHP et MySQL est le couple le plus en vogue du net depuis ces dernières années. Puisqu'il est très répandu et donc très visé par les pirates, il est vital aujourd'hui de connaître les bonnes pratiques de sécurité et la manière de contourner les quelques faiblesses d'origine de ces outils. Premier ouvrage en français consacré exclusivement à ce sujet à ma connaissance, ce livre remplit très bien son rôle et est à mettre entre toutes les mains des développeurs PHP. La première partie est un tour d'horizon des différentes techniques de piratage des pages web (injections xss, csrf, etc.), suivie par les techniques élémentaires de validation de données, même celles auxquelles on ne pense pas forcément au premier abord (formulaires, fichiers téléchargés, cookies, sessions... ). Sont abordées ensuite respectivement les mesures de sécurité spécifiques pour PHP et MySQL, à la fois au niveau du codage et de la configuration de ces 2 logiciels. On y parlera de safe mode, d'exécution de code à la volée, d'injections SQL etc. les vulnérabilités classiquement rencontrées sont traitées. Les chapitres suivants apprennent au lecteur à sécuriser différents composants clés du serveur sur lequel tourne l'application web. Enfin les techniques de chiffrement et signature sont expliqués afin de masquer au maximum l'information même si le pirate a réussi à se procurer les données. Les auteurs font un tour complet de tous les aspects de sécurisation d'un site PHP : le code PHP en lui-même bien sûr mais aussi MySQL, la configuration du serveur, etc. On pourra regretter que les mécanismes de sécurité introduits par les frameworks les plus courants (Zend Framework, Symfony, CakePHP... ) ne soient pas abordés, pourtant ils sont fort utilisés en milieu professionnel. Le texte est d'un niveau très abordable, parfois un peu long. Dans l'ensemble cependant ce livre convient tout à fait aux développeurs désireux d'écrire des applications robustes. Il présente toutes les attaques classiques et leurs parades et la connaissance de ces techniques permet de protéger efficacement un site PHP. Sommaire
268 pages,
2ème édition,
Juillet 2009
Éditions Eyrolles,
ISBN10 : 2-212-12554-2,
ISBN13 : 978-2-212-12554-2,
600 g Commandez sur www.amazon.fr : 30.39 EUR TTC seulement (au lieu de 30.40 EUR TTC : prix éditeur) - Livraison Gratuite ! |
  |
Public visé : Tous Résumé de l'éditeur
Présentation par l'éditeur
?tes-vous conscient que Google peut détecter des points
d'injection de SQL, exécuter des scans de ports et CGI, copier
des serveurs web, localiser des informations sur les firewalls
et sur les logs IDS, atteindre des bases de données de mots de
passe, des dumps SQL... tout cela, sans envoyer la moindre
donnée vers la cible ? Par l'analyse des techniques des Google Hackers malveillants, ce livre montre aux responsables de la sécurité comment mieux protéger leurs serveurs contre ces formes de fuite de l'information, de plus en plus courantes et dangereuses. Il intéressera également tous ceux qui s'intéressent à la veille technologique et aux outils de recherche des données sensibles. Après une présentation complète des bases de la recherche Google et de ses fonctions avancées, les techniques du Google Hacking sont exposées en détail sur plusieurs chapitres. Puis, l'auteur propose différentes méthodes de protection pour contrer ces menaces. Enfin, de nombreuses annexes et F.A.Q viennent compléter l'ouvrage.
Ce livre m'a réellement emballé. J'y ai appris beaucoup plus
de choses que je ne croyais. De plus les explications de ce
livre sont très claires et la lecture est facile et agréable,
je le recommande chaudement aux personnes qui s'intéressent à
la sécurité informatique sur le net et à tous ceux qui veulent
en connaitre plus sur Google.
Dans sa première partie il s'agit d'un cours d'utilisation des
fonctions de recherche Google. Même moi qui croyais
relativement bien m'en servir je me suis rendu compte que
j'utilisais un très faible pourcentage de ses capacités et
qu'en plus je ne m'y prenais pas très bien pour effectuer mes
recherches.
La simplicité de l'interface Google masque des possibilités
étonnantes que nous découvrons au fil du livre. Il n'est pas
un livre de recettes pour apprenti hacker, mais est destiné
aux personnes soucieuses de la sécurité de leur site internet
et de leur système d'information. Il démontre en effet que des
failles dans la gestion de la politique de sécurité et/ou dans
la gestion des droits d'accès peuvent amener certaines données
sensibles à être accessibles depuis internet et donc
potentiellement repérables par des hackers.
John LONG décrit les possibilités de recherche de google ainsi
que certains effets secondaires de son cache. Il présente
aussi certains mécanismes de recherche de failles de sécurités
utilisés par des hackers. Il nous donne donc des éléments de
reflexion sur la gestion de la sécurité qui ne se limite pas à
la mise en place de logiciels mais doit s'intégrer dans une
politique globale de gestion d'un système d'informations.
Une fois qu'on a compris comment les hackers peuvent tirer
avantages de Google il devient plus facile de l'utiliser à son
tour pour un "audit" de sécurité de son site.
Sommaire
350 pages,
1re édition,
septembre 2005
Éditions Eyrolles,
ISBN10 : 210049421X Commandez sur www.amazon.fr : 37.05 EUR TTC seulement (au lieu de 39.00 EUR TTC : prix éditeur) - Livraison Gratuite ! |
Voir également :
La rubrique Securite
Copyright © 2011 Developpez LLC. Tous droits réservés Developpez LLC. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents et images sans l'autorisation expresse de Developpez LLC. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts. Cette page est déposée.
Copyright © 2000-2012 - www.developpez.com