суббота, 14 ноября 2015 г.

По следам вебинара "Прикладная теория Application Security"

Вебинаром остался категорически недоволен =/ Уж сколько твердил сам себе и выслушивал от других, что нужно готовиться заранее, делать тестовые прогоны и выходить на вебинар как минимум с 3-4 версией контента, ан нет - через раз вылезает какая-то суровая генетическая лень, вынуждающая готовить слайды в последний момент и импровизировать во время выступления, на ходу подбирая нужные фразы и пояснения. Посему приношу извинения тем слушателям, которые так и не поняли, что это было. Вероятно в ближайшие месяцы, проведу работу над ошибками в формате статьи или серии заметок, дабы донести основные идеи более внятным и последовательным образом.

На вебинаре я обещал дать ссылки на несколько статей о символическом исполнении, абстрактной интерпретации и т.п. Поступим проще. Вот здесь лежит подборка материалов на эти и смежные темы, которые мы в той или иной мере использовали при работе над Application Inspector. Будут вопросы - задавайте в комментариях.

Что касается книг для дальнейшего чтения, то конкретно по теории есть не так уж и много материалов и практически все мне известные можно собрать по крупицам из подборки выше. Стоит отдельно отметить выступление Meredith L. Patterson, Sergey Bratus на 28C3 в 2011 (видео, слайды) и работу Matt Bishop с коллегами, которую я упоминал на вебинаре.

Если говорить о практике, то мой TOP 5 книг, обязательных к прочтению на данную тему следующий (порядок произвольный):

"Writing Secure Code, 2nd Edition"
"The Tangled Web. A Guide to Securing Modern Web Applications"

"The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws, 2nd Edition"
"The Browser Hacker's Handbook"
"The Shellcoder's Handbook: Discovering and Exploiting Security Holes, 2nd Edition"

Собственно, серию "Handbooks" данного издательства стоит прочесть всю.

P.S: Коллегам по конкурирующему цеху: парни, согласитесь, что обсуждать технические вопросы реализации Application Inspector на вебинаре, связанном с ним лишь косвенно - не вполне корректно по отношению к остальным слушателям. Я всегда готов делиться той информацией, которой имею право делиться со всеми, кто попросит. Даже с конкурентами, причем даже с теми конкурентами, руководство которых находится со мной в контрах. И для этого совсем не нужно дожидаться вебинара с моим участием, как повода задать интересующие вас вопросы :) Мои контакты доступны - пишите, звоните, буду рад пообщаться. Я серьезно.

Комментариев нет:

Отправить комментарий

Пожалуйста, будьте вежливы к автору и остальным посетителям этого блога