Литература хакерской тематики. Михаил Фленов. PHP глазами хакера

Михаил Фленов - известный в Беларуси российский автор. Помнится, "КВ" даже публиковала интервью , которое я у него брал. Мне Фленов импонирует тем, что у него получаются отличные учебники - то есть книги, посвящённые классическим и хорошо изученным вопросам, излагающие материал понятным языком, сдобренным изрядной порцией юмора. И хотя "PHP глазами хакера" - не самая новая из его книг, думаю, одна из самых полезных на сегодняшний момент, поскольку web-программирование сейчас становится едва ли не более актуальным, чем программирование для настольных систем, которому посвящены его остальные книги.

Начинается книга как обычный учебник по языку программирования, то есть автор сначала даёт основные понятия (названия разделов: "Кто такие хакеры?", "Серверные и клиентские технологии", "Правила кодирования", "Основные функции"...). Дальше идёт тема, которая является лейтмотивом всей книги - безопасность. Нет, даже не так, - БЕЗОПАСНОСТЬ. Потому что в сфере web более важной темы не найти. Безопасность Фленовым освещается со всех сторон: рассматриваются права доступа пользователей, проверка корректности входных данных, фильтрация данных, криптография. При этом рассматриваются не только методы защиты, но и сами атаки (что, в общем-то, вполне естественно). Атаки тоже разные: на скрипты, на базы данных, на запросы к базе... Cross-Site Scripting, SQL Injection, REQUEST_URI... Хотите узнать, что значат эти иноязычные словосочетания? Лучше всего это сделать, почитав саму книгу.

Помимо защиты, в книге рассматривается и оптимизация работы web-приложений, что тоже немаловажно, поскольку на медленно работающий сайт большое число пользователей не заманишь. Оптимизация запросов и самой базы данных, оптимизация сервера, кэширование - это всё приёмы, позволяющие повысить скорость работы сайта. В самом конце рассматриваются основы языка SQL, необходимые для работы с базами данных при помощи PHP.

Что радует, так это то, что в книге достаточно большое количество примеров, причём не абстрактных, написанных только для иллюстрации того или иного пункта теории, а именно жизненных. Впрочем, практичность всегда была присуща книгам Фленова. Кроме того, так как к печатной части прилагается компакт-диск, можно даже не набирать коды примеров руками, а изучать и модернизировать их прямо за монитором.

Таким образом, подводя итог, скажу, что "PHP глазами хакера" рекомендуется всем, кто уже начал изучать PHP, но хочет разобраться с проблемами безопасности, как, впрочем, и тем, кто только собирается приступить к изучению этого языка программирования.

Вадим СТАНКЕВИЧ

Увидел в торренте. Скачал. Открыл. Собственно, написание слова "хакера" логотипом известного одноимённого журнала - уже достаточная информация об этом произведении. Но я увидел на обложке, среди перечисления основных тем книги, и такую: "Защита SQL-инъекции в PHP" (от кого защита?)

Заинтересовался. 161-я страница. Ознакомился.
Итак.
Раздел 3.8.2.Атака SQL Injection
Привожу дайджест, следующий за ходом мысли гениального писателя.

1. Начинаем с простого. DELETE from table where id=1 or name="Администратор". Следует глубокий вывод о необходимости применения регов для замены всего, что не цифры, на пустую строку.

2. "Со строками нужно поступать так же. Как добиться, чтобы хакер не смог вести недопустимый символ и взломать базу данных? В строках могут использоваться буквы и иногда пробелы ". Далее аффтар демонстрирует рег, который оставляет от строки только цифры, пробелы и латинские буквы (вообще, судя по всему, все примеры кода в книге - цельнотянутые с какого-то англ.яз. источника без каких-либо попыток адаптации).

3.Наконец-то аффтар вспоминает, что кроме пробелов и букв в базе могут лежать и другие символы. Тут мне остаётся только цитировать, с небольшими комментариями:
"Регулярное выражение "/^a-zA-Z9-0 /i " запрещает любые специальные символы, но иногда они бывают необходимы. Например, в поле могут быть символы [ и ]. Да, это может быть вполне безобидно для запроса, но не все символы безопасны. Давайте рассмотрим, что никогда нельзя разрешать:
- Одинарные и двойные кавычки. Такие символы используются в запросах для выделения. (ЙАД они выделяют! )
- знак равенства (далее следует пример, который демонстрирует чудовищную уязвимость с его помощью)
- два тире подряд (также с примером)
- точка с запятой
- символы коментариев /* */
- "Если поле может содержать слишком большое количество перечисленных выше специальных символов, то я рекомендую запретить ещё и имена основных операторов SQL: insert,update,delete, or, and и т.д."
- "Особое значение в SQL играет ключевое слово union..."
- круглые скобки
(далее фантазия отправилась совсем уж в свободный полёт):
- "Чтобы усложнить взломщикам поиск ошибок в запросе, можно запретить использование сравнения "1"="1 (видимо, запрета символа = оказалось недостаточно)
далее следует три страницы ужасов, которые ожидают программиста, который забыл запретить комбинацию "1"="1
по окончании ужасов товарищ переходит к следующему разделу:

4. Всё. Раздел закончился. Тема SQL Injection ис-чер-па-на!

Последующие разделы не менее интересны
3.8.3. Работа с файлами.

Два абзаца, сводящихся к одному предложению "Хакеры очень часто используют SQL-команду into outfile". Никаких рекомендаций по борьбе с этим злом не даётся. АААА! Это незакрываемая дыра!

Если непонятно, почему это бред, читаем статью

Михаил Фленов. Серия книг "Глазами хакера" +CD (2004-2007) ​

• Михаил Фленов. Компьютер глазами хакера.Скачать: pdf или djvu +

• Михаил Фленов. Web-Сервер глазами хакера.Скачать:pdf или djvu +

• Михаил Фленов.Программирование в Delphi глазами хакера(1 издание). Скачать:pdf или djvu +

• Михаил Фленов.Программирование в Delphi глазами хакера(2 издание). Скачать: pdf или djvu +

• Михаил Фленов. Программирование на C++ глазами хакера .Скачать:pdf или djvu или chm +

• Михаил Фленов.Linux глазами хакера.Скачать:pdf или djvu

• Михаил Фленов.PHP глазами хакера.Скачать:pdf или djvu

На некоторые файлы на прилагаемых дисках может ругаться антивирь ​

Спойлер: Краткое описание содержания книг и дисков

Компьютер глазами хакера
Рассмотрены компьютер, операционная система Windows и Интернет с точки зрения организации безопасной и эффективной работы на ПК. Описаны основные методы атак хакеров и рекомендации, которые позволят сделать компьютер быстрее, надежнее и безопаснее. Представлены примеры накручивания счетчиков на интернет-сайтах и методы взлома простых вариантов защиты программ Shareware. Приведены советы хакеров, которые позволят при путешествии по Интернету не заразиться вирусами и не стать добычей сетевых мошенников, владеющих методами социальной инженерии. Показано, как сделать интерфейс Windows более удобным и привлекательным, компьютер - надежнее и быстрее, а работу в сети - более эффективной.

Содержание компакт-диска:
- Программы, описанные в первой главе, и файлы, которые помогут украсить Windows и Internet Explorer
- Chapter2 Файлы, использованные в материалах второй главы
- Chapter2\Login Программы входа в Windows XP
- Chapter4 Программа CyD Archiver XP, позволяющая сделать архивы недоступными
- Chapter5 Программы и файлы, использованные в материалах пятой главы
- Soft Демонстрационные программы от CyD Software Labs. Большинство из них использовались для подготовки материала книги

Web-Сервер глазами хакера
Рассмотрена система безопасности Web-серверов и типичные ошибки, совершаемые Web-разработчиками при написании сценариев на языках PHP, ASP и Perl. Приведены примеры взлома реальных Web-сайтов, имеющих уязвимости. В теории и на практике рассмотрены распространенные хакерские атаки: DoS, Include, SQL-инъекции, межсайтовый скриптинг, обход аутентификации и др. Описаны основные приемы защиты от атак и рекомендации по написанию безопасного программного кода. Компакт-диск содержит листинг из книги, программы автора.

Содержание компакт-диска:
- Цветные скриншоты изображений из главы 1
- Цветные скриншоты изображений из главы 2
- Исходные коды примеров из главы 3
- Исходные коды сценариев и цветные скриншоты изображений из главы 4
- Исходные коды сценариев и цветные скриншоты изображений из главы 5
- Цветные скриншоты изображений из главы 6
- Исходные коды сценариев из главы 7
- Исходные коды сценариев реализации собственной авторизации (см. гл. 9)
- Исходные коды сценариев из главы 10
- Soft от CyD Software Labs

Программирование в Delphi глазами хакера
В книге вы найдете множество нестандартных приемов программирования на языке Delphi, его недокументированные функции и возможности. Вы узнаете, как создавать маленькие шуточные программы. Большая часть книги посвящена программированию сетей, приведено множество полезных примеров. Для понимания изложенного не нужно глубоких знаний, даже начальных сведений о языке Delphi хватит для работы над каждой темой. Если вы ни разу не программировали, то на прилагаемом к книге компакт-диске в каталоге vr-online вы найдете полную копию сайта автора и электронную версию его книги "Библия Delphi". Это поможет вам научиться программировать без каких-либо начальных знаний. Прочитав книгу и дополнительную информацию, предоставленную на компакт-диске, вы можете пройти путь от начинающего программиста до продвинутого пользователя и познать хитрости хакеров и профессиональных программистов.

Содержание компакт-диска:
- Все необходимые заголовочные файлы, которые нужно будет подключать к Delphi для компиляции некоторых примеров
- Исходные коды своих простых программ, чтобы вы могли ознакомиться с реальными приложениями. Их немного, но посмотреть стоит
- Полная копия сайта автора, а это 100 Мбайт документации, полезной информации, исходных кодов и компонентов.
- Дополнительная документация, которая может понадобиться для понимания некоторых глав
- В этой директории вы найдёте большую коллекцию значков, которые вы можете использовать в своих программах. Эту коллекцию я подбирал достаточно долго и все значки хорошего качества
- Дополнительные компоненты, которые будут использоваться в примерах книги
- Программы, которые пригодятся в программировании. Среди них Header Convert - программа, которая конвертирует заголовочные файлы с языка С на Delphi, и ASPack - программа сжатия запускных файлов

Фленов М.Е. Программирование на C++ глазами хакера
Автор рассматривает множество нестандартных приемов программирования и примеры использования недокументированных возможностей языка C++ при разработке шуточных программ и серьезных сетевых приложений, которые могут помочь при создании программ диагностики сетей, управления различными сетевыми устройствами и просто при повседневном использовании интернет-приложений.

Знакомство с приемами и алгоритмами, которые используют хакеры для написания своих утилит, позволит Вам создать собственную надежную систему обороны. Для эффективного освоения материала Вам понадобятся минимальные знания C++ и начальные навыки общения с компьютером и мышкой, а книга поможет познать хитрости хакеров и секреты профессиональных программистов. Компакт-диск содержит исходные коды примеров и откомпилированные программы, а также популярные приложения компании CyD Software Labs.

Содержание компакт-диска:
- Дополнительная документация
- Исходные коды простых программ, чтобы вы могли ознакомиться с реальными приложениями. Их немного, но посмотреть стоит
- Исходные коды к главе 1 "Оптимизация"
- Исходные коды к главе 2 "Простые шутки"
- Исходные коды к главе 3 "Система"
- Исходные коды к главе 4 "Работа с сетью"
- Исходные коды к главе 5 "Работа с железом"
- Исходные коды к главе 6 "Полезные примеры"
- Исходные коды к главе 7 "Система безопасности"
- Программы
- Исходные коды

Linux глазами хакера
Рассмотрены вопросы настройки ОС Linux на максимальную производительность и безопасность. Описаны потенциальные уязвимости и рекомендации по предотвращению возможных атак. Дается подробное описание настройки прав доступа и конфигурирования сетевого экрана. Показано, как действовать при атаке или взломе системы, чтобы максимально быстро восстановить ее работоспособность и предотвратить потерю данных. Для пользователей, администраторов и специалистов по безопасности.

PHP глазами хакера
Рассмотрены вопросы безопасности и оптимизации сценариев на языке РHР. Большое внимание уделено описанию типичных ошибок программистов, благодаря которым хакеры проникают на сервер, а также представлены методы и приведены практические рекомендации противостояния внешним атакам. Показаны реальные примеры взлома Web-серверов. На компакт-диске приведены исходные тексты примеров, рассмотренных в книге, а также полезные программы и утилит.