Książka bardzo obfita we wszelkie niuanse związane z podatnościami w aplikacjach. Przez swoja obfitość muszę się zgodzić z przedmówcami, że mogłyby być skrócona o przynajmniej połowę, a nadal by zachowała swoją wartość jaką z niej wyciągnąłem. Dużym atutem jest umieszczenie przez autorów na końcu rozdziału i podrozdziału tzw. checklisty, która pozwala w szybki sposób zweryfikować możliwe podatności w aplikacji związane z tematyka danego rozdziału. Kolejną zaletą jest mnogość przykładów np. przykłady kodu JavaScript w którym została zlokalizowana podatność XSS jak również i podane rodzaje występowania. Lekkim rozczarowaniem był rozdział o JWT, w którym tematy były omawiane powierzchownie, a większość treści związana była z odsyłaniem do uzupełnienia wiedzy w zewnętrznych źródłach. Podsumowując, większość przedstawionych podatności należy raczej do akademickich rozważań niż do rzeczywistych problemów w aplikacjach. Pomimo wad zdecydowanie polecam książkę każdemu, kto chce wejść w świat cyber security i być bardziej świadomym zagrożeń programistą.

Książka bardzo obfita we wszelkie niuanse związane z podatnościami w aplikacjach. Przez swoja obfitość muszę się zgodzić z przedmówcami, że mogłyby być skrócona o przynajmniej połowę, a nadal by zachowała swoją wartość jaką z niej wyciągnąłem. Dużym atutem jest umieszczenie przez autorów na końcu rozdziału i podrozdziału tzw. checklisty, która pozwala w szybki sposób...

Książkę traktuje jako wprowadzenie do bezpieczeństwa web aplikacji. Choć w dużej mierze jej treść opiera się na artykułach opublikowanych na sekurak.pl o mimo tego warto po nią sięgnąć. Zdaje sobie sprawę, że nie wszystko dało się opisać (bądź co bądź czuje niedosyt),jednak na obecną chwilę, książka jest świeża. Minusem jest nierówność pomiędzy autorami rozdziałów, jedni wolą tłumaczyć, drudzy zająć się konkretami. Tak czy inaczej lepiej przeczytać.

Książkę traktuje jako wprowadzenie do bezpieczeństwa web aplikacji. Choć w dużej mierze jej treść opiera się na artykułach opublikowanych na sekurak.pl o mimo tego warto po nią sięgnąć. Zdaje sobie sprawę, że nie wszystko dało się opisać (bądź co bądź czuje niedosyt),jednak na obecną chwilę, książka jest świeża. Minusem jest nierówność pomiędzy autorami rozdziałów, jedni...

Z tego, co się domyślam, to ta książka powstawała w bólach, przynajmniej w wersji elektronicznej. Jednak wyczekując na wersje elektroniczną, która miała się niebawem pokazać, czekałem 2 lata, i nie wytrzymałem dłużej. Kupiłem ten gruby papierowy tom. Jak na złość chwilę potem wyszła wersja elektroniczna w formatach: pdf, epub, zaś na końcu w mobi. Mam Kindle, więc ten ostatni format mnie zainteresował. Czytać się oczywiście da, obrazki dobrze widać, jednak nie ma formatowania z prawej do lewej i parę rozdziałów w tym podatność xss (ramk) jest tragicznie sformatowana. Nie wiem, czy autorzy sprawdzili wszystkie kody źródłowe zamieszczone w tomie, ale w paru miejscach był błąd (tak, przepisałem kod źródłowy - scenarios.html, bo w necie nie było (nie domknięty nawias)). Być może, gdzieś jeszcze był błąd, ale to mało istotne. Fajnie by było jakby te kody były gdzieś zamieszczone dla czytelników. Były też zarzuty, że rozdziały w książce to zrzynka z bloga/strony Sekuraka. To akurat nie ma znaczenia, liczy się treść. A treści jest bardzo dużo. Na pewno więcej, niż w jakiejkolwiek pozycji z serii Kali. Jeżeli coś znajdziecie w tych książkach, to w "Bezpieczeństwie aplikacji webowych" będzie to bardziej rozwinięte. Nie do końca podobało mi się ułożenie rozdziałów. Ogólnie serializacja była wcześniej wspomniana, zaś rozdziały z nią były na samym końcu. I to aż w 3-4 językach, Python, Java, Net i coś jeszcze. Następny plus idzie za lekką odskocznie od metod hakingu, czyli Bug Bounty i aspekty prawne. Potrzebne to tu było. Niestety denerwowały mnie w książce anglicyzmy. Ja rozumiem, że autorzy stykają się z tym językiem na co dzień, ale litości! To jest książka dla polskich czytelników. "Enkodowanie" można jeszcze od biedy wybaczyć, chociaż jest odpowiednik polski, ale sformułowania typu: "consent screen", "obfuskacja", "Chief architect", "błąd jest spoza scope" są po prostu niewybaczalne. Być może "obfuskacja" - zaciemnianie kodu, wejdzie do polskiego języka, ale dobrze byłoby to opisać. Ogólnie polecam. Wersja elektroniczna ma chyba jeden rozdział więcej.

Z tego, co się domyślam, to ta książka powstawała w bólach, przynajmniej w wersji elektronicznej. Jednak wyczekując na wersje elektroniczną, która miała się niebawem pokazać, czekałem 2 lata, i nie wytrzymałem dłużej. Kupiłem ten gruby papierowy tom. Jak na złość chwilę potem wyszła wersja elektroniczna w formatach: pdf, epub, zaś na końcu w mobi. Mam Kindle, więc ten...

Moim zdaniem na rynku brakuje książek które poruszają kwestię bezpieczeństwa. NIestety ta książka ma sporo mankamentów. Poziom rozdziałów jest nierówny, zaskoczeniem było dla mnie omawianie "Developer Tools" co jest raczej wiedzą podstawową i jeżeli ktoś zaczyna interesować się bezpieczeństwem to powinien raczej znać to narzędzie.
Miałem też problem z samym stylem pisarskim autorów. Nie jestem przekonany, czy pisanie technicznych książek po polsku jest najlepszym rozwiązaniem. Operujemy w większości terminami z języka angielskiego, które w tymże języku brzmią dobrze i naturalnie, natomiast po przetłumaczeniu na polski powstają zdania ciężkie i sztuczne.

Moim zdaniem na rynku brakuje książek które poruszają kwestię bezpieczeństwa. NIestety ta książka ma sporo mankamentów. Poziom rozdziałów jest nierówny, zaskoczeniem było dla mnie omawianie "Developer Tools" co jest raczej wiedzą podstawową i jeżeli ktoś zaczyna interesować się bezpieczeństwem to powinien raczej znać to narzędzie.
Miałem też problem z samym stylem...

Bardzo dobra książka, która opisuje wiele zagadnień dotyczących bezpieczeństwa stron internetowych.

Bardzo dobra książka, która opisuje wiele zagadnień dotyczących bezpieczeństwa stron internetowych.

Książka jest tak naprawdę zbiorem artykułów.
Plusy:
- dużo stron i poruszonych problemów
- zwiększenie świadomości o potencjalnych podatnościach.

Minusy:
- momentami mocno przegadana, więcej formy niż faktycznej treści,
- książkę można by śmiało odchudzić o 400 stron, bo duża część poruszanych podatności nie istnieje, gdy piszę się aplikację zgodnie z przyjętymi dobrymi praktykami. Wiele podatności jest też tak naprawdę historyczna i nie wystepuje w obecnie używanej technologii.

Książka jest tak naprawdę zbiorem artykułów.
Plusy:
- dużo stron i poruszonych problemów
- zwiększenie świadomości o potencjalnych podatnościach.

Minusy:
- momentami mocno przegadana, więcej formy niż faktycznej treści,
- książkę można by śmiało odchudzić o 400 stron, bo duża część poruszanych podatności nie istnieje, gdy piszę się aplikację zgodnie z przyjętymi dobrymi...