Ny bok som sikkerhet i webapplikasjoner

En norsk sikkerhetskonsulent har utgitt en bok om hvordan utviklere kan lage sikre webapplikasjoner.

Sverre H. Huseby, utvikler og sikkerhetskonsulent med bakgrunn fra USIT, Computas og som nå driver sitt eget konsulentselskap, Heimdall, ga i desember ut boken Innocent Code: A Security Wake-Up Call for Web Programmers på det amerikanske forlaget Wiley.

Boken er skrevet for utviklere som skal lage webapplikasjoner med server-side logikk.

Huseby har de tre siste årene jobbet heltid med kodesikkerhet i webløsninger, og mener at han på den måter har opparbeidet en del kunnskap som burde være kjent for alle som programmerer serverside weblogikk.

- Det finnes et lite knippe gode bøker om kodesikkerhet, men de befatter seg hovedsakelig med sikkerhet i "vanlige" programmer, og ikke webløsninger. De bøkene som handler om websikkerhet er stort sett skrevet for folk som skal teste, og ikke folk som skal utvikle, skriver Huseby i en e-post til digi.no.

Boken tar blant annet for seg angrep basert på innsetting av SQL-instruksjoner i URL-er, validering av inndata, cross-site-skripting, datamanipulering for å omgå tilgangskontrollen og andre angrep som skyldes manglende kode.

Målet med boken er å fortelle webutviklere hvordan de kan lage nettsteder som ikke er sårbare for angrep, uten å forsøke å gjøre leserne til sikkerhetseksperter.

Til toppen