Защита от хакеров Web-приложений

Джефф Форристал, Крис Брумс, Дрю Симонис, Брайн Бегнолл,
Майкл Дайновиц, Джей Д. Дайсон, Джо Дьюлэй, Майкл Кросс,
Эдгар Даниелян, Дэвид Г. Скабру

Защита от хакеров
Webприложений

The Only Way to Stop a Hacker
is to Think Like One

ТМ

Your Web applications
Your Web applications

Jeff Forristal
Chris Broomes
Drew Simonis
Brian Bagnall
Michael Dinowitz
Jay D. Dyson
Joe Dulay
Michael  Cross
Edgar Danielyan
David G. Scarbrough

Джефф Форристал

Крис Брумс

Дрю Симонис

Брайн Бегнолл

Майкл Дайновиц

Джей Д. Дайсон

Джо Дьюлэй
Майкл Кросс

Эдгар Даниелян
Дэвид Г. Скабру

Единственный способ остановить
хакера – это думать, как он

Москва

Перевод с английского
Виталия Зорина

Серия «Информационная безопасность»

Webприложений
Webприложений

Форристал Д. и др.
Защита от хакеров Webприложений / Джефф Форристал, Крис Брумс, Дрю
Симонис, Брайн Бегнолл, Майкл Дайновиц, Джей Д. Дайсон, Джо Дьюлэй,
Майкл Кросс, Эдгар Даниелян, Дэвид Г. Скабру ; Пер. с англ. В. Зорина – М. :
Компания АйТи ; ДМК Пресс. – 496 с. : ил. – (Серия «Информационная
безопасность»).

ISBN 5984530066 (АйТи) – ISBN 5940742580 (ДМК Пресс)

УДК 004.056
ББК 32.973.202

Ф79

Ф79

ISBN 1-928994-31-8 (англ.)
Copyright © 2001 by Syngress Publishing, Inc.

ISBN 5-98453-006-6 (АйТи)
© Перевод на русский язык. Компания АйТи

ISBN 5-94074-258-0 (ДМК Пресс)
© Оформление. ДМК Пресс
© Издание. Тетру

В этом издании представлены инструментальные средства для защиты Web-при
ложений и подробно рассмотрены базовые подходы для обеспечения безопасного
управления сайтами, разработки безопасного кода, планирования защиты. Книга научит читателя «думать, как хакер» и благодаря этому лучше защищать информационные ресурсы сайта и конфиденциальные данные, обеспечивая их целостность. Внимание читателей акцентируется на проблеме безопасности от начальной до конечной
стадии разработки приложений.

Подробно рассматриваются такие важные темы обеспечения успешной защиты Web
приложений от атак, как разработка плана сетевой безопасности, плана безопасности приложений и защиты рабочих мест, тестирование, изменение и совершенствование прикладных методов и средств, а также методы осуществления угроз безопасности. В книге
представлен обзор сайтов и форумов для разработчиков, публикующих перечень всех
известных текущих угроз и проводящих консультации по проблемам безопасности.

УДК
004.056

ББК
32.973.202

Original English language edition published by Syngress Publishing, Inc. Copyright © 2001 by Syngress

Publishing, Inc. All rights reserved.

Все права защищены. Любая часть этой книги не может быть воспроизведена в какой бы то ни

было форме и какими бы то ни было средствами без письменного разрешения владельца
авторских прав.

Материал, изложенный в данной книге, многократно проверен. Но, поскольку вероятность тех
нических ошибок все равно остается, издательство не может гарантировать абсолютную точность
и правильность приводимых сведений. В связи с этим издательство не несет ответственности за возможный ущерб любого вида, связанный с применением содержащихся здесь сведений.

Все торговые знаки, упомянутые в настоящем издании, зарегистрированы. Случайное непра
вильное использование или пропуск торгового знака или названия его законного владельца не
должно рассматриваться как нарушение прав собственности.

Содержание

Предисловие
19

Глава 1. Методология хакинга
21
Введение
22
Терминология
23
Краткая история хакинга
23
Хакинг телефонных систем
24
Компьютерный хакинг
25
Мотивы хакера
28
Сравнение этичного
и злонамеренного хакинга
29
Сотрудничество со специалистами
по безопасности
30
Наиболее распространенные типы атак
31
DoS/DDoS
31
Вирусный хакинг
33
Хищение
40
Распознавание угроз безопасности
Web-приложений
44
Скрытая манипуляция
44
Искажение параметра
45
Создание перекрестного сценария
45
Переполнение буфера
45
Заражение cookie-файла
46
Изучение хакерских методов
для защиты от взломов
47
Резюме
50
Конспекты
50
Часто задаваемые вопросы
53

Как апплеты
злоумышленника
переносят
вредоносный код:

Мобильный код для приложений в виде Javaапплетов, JavaScript и ActiveXкомпонентов – это мощное
орудие для передачи данных по Сети. Но это также
и мощное орудие для распространения вредоносного кода. Вредоносные апплеты не саморазмножаются и не предназначены,
например, для искажения
данных, подобно вирусам.
Но они часто становятся
средством специфической
атаки, направленной на
хищение данных или приведение системы к краху.

Защита от хакеров Webприложений
6

Глава 2. Как избежать
«перемалывания кода»
55
Введение
56
Что означает «перемалыватель кода»
57
Следование правилам
60
Кодирование – творческий процесс
61
Разрешение на идею
63
Обеспечение безопасности
«перемалывателем кода»
66
Кодирование в вакууме
67
Что предпочесть – функциональность
или безопасность Web-приложений
69
Но мой код функционален!
73
Резюме
80
Конспекты
81
Часто задаваемые вопросы
82

Глава 3. Мобильный код – ваш враг
83
Введение
84
Осмысление рисков,
связанных с мобильным кодом
85
Атаки на браузер
85
Атаки на почтового клиента
86
Вредоносные сценарии, или макросы
86
Идентификация основных форм
мобильного кода
87
Макроязыки: Visual Basic for Applications
88
JavaScript
94
VBScript
98
Java-апплеты
101
ActiveX
105
Почтовые вложения
и загруженные исполняемые файлы
109
Защита от атак,
использующих мобильный код
113
Приложения, обеспечивающие безопасность
113
Web-инструменты
118
Резюме
120

Творческий подход
к программированию:

Осознайте возможность
постороннего вмешательства в ваш код, ожидайте
непредсказуемого!
Сделайте свой код более
лаконичным; часть кода,
отвечающая за функциональность, должна быть
минимальной.
Проверка, проверка, проверка! Не надо полагаться
только на себя и тем более
замалчивать свои ошибки.

Как работает
мобильный код
в Javaапплетах
и ActiveXкомпонентах:

Ваш компьютер
Сервер

При открытии сообщения 
электронной почты в формате HTML
код ищется и считывается с сервера

Сообщение электронной 
почты в формате HTML, 
содержащее URLссылку на код
(Javaапплет или ActiveXкомпонент)

Компьютер отправителя

Aпплет 
или  ActiveXкомпонент

Мобильный код, содержащийся на Webсервере

Содержание
7

Конспекты
121
Часто задаваемые вопросы
122

Глава 4. Уязвимые CGIcценарии 
123
Введение
124
Что такое CGI-сценарий
и для чего он применяется
124
Типовые использования CGI-сценариев
127
Когда следует обращаться к CGI
131
Проблемы хостинга CGI-сценария
132
Взлом слабых CGI-сценариев
133
Как создавать надежные CGI-сценарии 
135
Команда индексного поиска
138
CGI-упаковщики
139
Языки для создания CGI-сценариев
143
Командный процессор UNIX
144
Perl
145
C/C ++
145
Visual Basic
146
Преимущества использования
CGI-сценариев
146
Правила создания
безопасных CGI-сценариев
147
Хранение CGI-сценариев
151
Резюме
154
Конспекты
154
Часто задаваемые вопросы
157

Глава 5. Методы и инструменты
хакинга
159
Введение
160
Цели хакера
161
Минимизация количества предупреждений
162
Расширение доступа
163
Убытки, убытки, убытки
166
Поменяться ролями
168
Пять стадий взлома
169
Создание схемы атаки
170
Составление плана реализации атаки
172

Инструментальные
средства…
Остерегайтесь ввода
данных
пользователем:

CGIсценарии и программы
обычно применяются, когда
код разрешает пользовательский ввод, но часто данные,
которые предлагает пользователь, не проверяются. Контроль информации, введенной пользователем, значительно сокращает шансы хакера на взлом вашей системы
с помощью CGIсценария.

Ознакомьтесь
досконально
с технологиями
хакеров:

Вопрос: Что я должен делать, обнаружив «черный
ход» в своем коде?
Ответ: Сначала нужно определить, действительно ли
это «черный ход». Иногда
некоторые части кода не
имеют никаких аутентификационных данных и могут
выполнять значимые операции, но тем не менее перед

Защита от хакеров Webприложений
8

Определение точки входа
173
Длительный и продолжающийся доступ
174
Атака
175
Социотехника
177
Критичная информация
177
Атака «черного хода»
184
Закодированный пароль «черного хода»
184
Эксплуатация слабостей кода
или среды программирования
186
Продаваемые
инструментальные средства
187
Hex-редакторы
187
Отладчики
189
Обратные ассемблеры
190
Резюме
193
Конспекты
193
Часто задаваемые вопросы
196

Глава 6. Аудит и обратная проверка
кода 
199
Введение
200
Эффективное трассирование программы
200
Аудит и проверка
выбранных языков программирования
203
Проверка языка Java
204
Проверка языка JSP
204
Проверка языка ASP
204
Проверка языка SSI
205
Проверка языка Python
205
Проверка языка TCL 
205
Проверка языка Perl
206
Проверка языка PHP
206
Проверка языка C/C++
206
Проверка языка ColdFusion
207
Поиск уязвимостей
207
Поиск переполнения буфера
208
Получение данных от пользователя
208
Контроль пользовательского вывода
212

их вызовом обеспечивается
должная аутентификация.
Если при тщательном анализе выявилось, что это «черный ход», пригласите сотрудника отдела безопасности, знающего данный язык
программирования, и проведите аудит кода. Если сотрудник решит, что это «черный ход», то следует выяснить, был ли он создан преднамеренно или случайно.

Как проводить
эффективную
трассировку
выполнения
программ:

Трассировка выполнения
программы от начала до
конца занимает слишком
много времени.
Вам удастся сэкономить
время, если вместо этого
вы займетесь непосредственно разрешением известных проблем.
Такой подход оставляет
в стороне логику обработки приложений.

Содержание
9

Контроль доступа/взаимодействия
в файловой системе
216
Контроль внешней программы
и выполнения кода
219
Проверка языка SQL/запросов к базе данных
221
Контроль организации сети
и коммуникационных потоков
224
Обобщение полученной информации
225
Резюме
227
Конспекты
227
Часто задаваемые вопросы
228

Глава 7. Безопасность Javaкода
229
Введение
230
Краткий обзор
архитектуры безопасности Java 
231
Модель безопасности Java
232
Sandbox
234
Как Java обеспечивает безопасность
238
Загрузчики классов
239
Верификатор байт-кода
242
Защищенные Java-домены 
247
Потенциальные слабости Java
256
DoS-атака и атаки снижения эффективности
служб
256
Сторонние троянские атаки
259
Кодирование функциональных
и безопасных Java-апплетов 
260
Дайджесты сообщения
261
Цифровые подписи
264
Аутентификация
270
Безопасность JAR с применением ЭЦП
278
Шифрование
281
Рекомендации Sun Microsystems
по безопасности Java
288
Резюме
291
Конспекты
292
Часто задаваемые вопросы
293

Рассмотрите все
аспекты модели
безопасности Java:

Загрузчики классов.
Проверка байткода.
Менеджеры безопасности.
Электронные цифровые
подписи.
Аутентификация с применением сертификатов.
Подпись JARфайлов.
Шифрование.

Защита от хакеров Webприложений
10

Глава 8. Безопасность XML
295
Введение
296
Определение XML
296
Логическая структура
298
Элементы
299
XML- и XSL/DTD-документы
302
Использование XSL-шаблонов
302
Использование XSL-образцов
303
DTD
305
Создание Web-приложений
с помощью XML
308
Риски, связанные с XML
311
Обеспечение конфиденциальности
312
Безопасность XML
313
XML-шифрование
314
Электронная цифровая подпись XML
319
Резюме
322
Конспекты
322
Часто задаваемые вопросы
324

Глава 9. Создание безопасных
ActiveXкомпонентов
для работы в Internet
325

Введение
326
Угрозы, связанные с ActiveX
327
Как избежать типовых уязвимостей ActiveX
329
Уменьшение влияния уязвимостей ActiveX
332
Методология разработки безопасных
ActiveX-компонентов
335
Настройка безопасности объектов
336
Безопасность ActiveX-компонентов
337
Подписание компонента
337
Применение Microsoft Authenticode
339
Маркировка компонента
341
Резюме
347
Конспекты
347
Часто задаваемые вопросы
349

Ущерб и защита…
Отладка XSL:

Взаимодействие таблицы
с XMLдокументом представляет собой довольно сложный процесс, и к сожалению,
ошибки таблицы чаще всего
являются криптографическими. Компания Microsoft предлагает XSLотладчик, основанный на HTML, который
предназначен для выполнения XSL. Вы сможете просмотреть и исходный код для его
улучшения. Отладчик XSL доступен на сайте:
http://msdn.microsoft.com/
downloads/samples/internet/
xml/sxl_debugger/default.asp.

Разрешайте
выполнение ActiveXкомпонента, опираясь
на информацию
в окне
предупреждения:

Содержание
11

Глава 10. Безопасность ColdFusion
351
Введение
352
Как работает ColdFusion
352
Преимущества быстрой разработки
354
Язык разметки текста ColdFusion – CFML
355
Обеспечение защиты ColdFusion 
357
Безопасное программирование
360
Безопасное развертывание
369
Обработка данных
приложениями ColdFusion
370
Проверка наличия ожидаемых данных
371
Проверка типов данных
372
Оценка данных
374
Риски, связанные с ColdFusion
375
Использование программ
обработки ошибок
378
Использование посессионной трассировки
383
Резюме
385
Конспекты
386
Часто задаваемые вопросы 
388

Глава 11. Разработка
защищенных приложений
389
Введение
390
Преимущества защищенных приложений
390
Способы защиты приложений
391
Электронные цифровые подписи
392
Pretty Good Privacy
393
S/MIME
396
SSL
397
Цифровые сертификаты
402
Общий обзор PKI
403
PKI-сервисы
405
Применение PKI
для защиты Web-приложений 
407
Реализация PKI в Web-инфраструктуре
409
Служба поддержки сертификатов
компании Microsoft
409

Как создавать
безопасный
ColdFusionкод:

При разработке приложения
в ColdFusion необходимо соблюдать осторожность с многими тегами, отвечающими за
потоки данных, так как существуют различные методы
атак на подобные теги.
В большинстве случаев подтверждение данных, посылаемых странице, предотвратит
некорректную работу с ними.
В других ситуациях от взлома
защитит предварительно установленный запрет некоторых
тегов. Для каждого тега мы
рассмотрим возможность его
отключения (опция, управляемая администратором) или
правильного кодирования,
так как некоторые теги нельзя
отключить.

Выбор
криптографического
токена, а также типа
и длины ключа:

Защита от хакеров Webприложений
12

Сервер сертификатов компании Netscape
413
PKI для сервера Apache
419
PKI и программные средства обеспечения
безопасности
421
Тестирование системы защиты
422
Резюме
426
Конспекты
428
Часто задаваемые вопросы 
431

Глава 12. От А до Я: работа
с планом обеспечения безопасности
433
Введение
434
Исследование кода
435
Просмотр кода
436
Коллективный анализ кода
437
Осведомленность об уязвимости кода
440
Тестирование, тестирование, тестирование
441
Роль здравого смысла при кодировании 
444
Планирование
444
Стандарты кодирования
445
Инструменты 
447
Разработка плана
обеспечения безопасности
451
Планирование системы безопасности
на сетевом уровне
452
Планирование безопасности
на прикладном уровне
453
Планирование безопасности
на уровне рабочих мест
454
Безопасность при разработке
Web-приложения
455
Резюме
457
Конспекты
458
Часто задаваемые вопросы
459

Приложение
461

Предметный указатель
483

Список типовых
дефектов при
программировании
в Javaсреде, которые
не так просто
обнаружить при
помощи стандартных
методов
тестирования:

Избыточное копирование
строк – ненужные копии
постоянных объектов.
Неспособность клонировать
возвращаемые объекты.
Ненужное клонирование.
Ручное копирование массивов.
Ошибочное копирование
или создание только частичной копии.
Повторное тестирование
нулевого результата.
Использование == вместо
.equals.
Смешение неатомарных
и атомарных операций.
Добавление неоправданных «ловушек».
Неудачное выполнение
операций присваивания,
клонирования или хэширования.

Благодарности

Мы xотели бы выразить признательность следующим людям за участие
и поддержку, благодаря которым появилась эта книга.
Ричарду Кристофу (Richard Kristof) и Дункану Андерсону (Duncan Anderson) из Global Knowledge за предоставление лучшиx курсов по информационным теxнологиям и учебного оборудования, привлечение лучших преподавателей.
Ральфу Троупу (Ralpf Troupe), Ронде Сент-Джон (Rhonda St. John) и команде Callisma – их опыт в области проектирования, развертывания и поддержки глобальных корпоративныx сетей просто неоценим.
Карен Кросс (Karen Cross), Лансу Тилфорду (Lance Tilford), Мегану Каннингэму (Meaghan Cunningham), Киму Уайли (Kim Wylie), Гарри Керчнеру
(Harry Kirchner), Биллу Ричтеру (Bill Richter), Кевину Вотелу (Kevin Votel)
и Бриттину Кларку (Brittin Clark) из Publishers Group West, охотно делившимся своими экспертными знаниями и опытом в области маркетинга.
Мэри Джинг (Mary Ging), Каролин Xерд (Caroline Hird), Саймону Билу
(Simon Beale), Каролин Уиллер (Caroline Wheeler), Виктории Фуллер (Victoria
Fuller), Джонатану Банкеллу (Jonathan Bunkell), а также Клаусу Берану (Klaus
Beran) из Harcourt International, следившим, чтобы мы не упустили важных
деталей при подготовке книги.
Анеку Бейтену (Anneke Baeten), Аннабел Дент (Annabel Dent) и Лаури
Джайлс (Laurie Giles) из Harcourt Australia за помощь.
Дэвиду Бакленду (David Buckland), Венди Вонг (Wendi Wong), Дэниелу
Ло (Daniel Loh), Мэри Чинг (Marie Chieng), Люси Чонг (Lucy Chong), Лесли Лим (Leslie Lim), Одри Гэн (Audrey Gan) и Джозефу Чан (Joseph Chan)
из Transquest Publishers за веру в наши силы.
Квону Санг Джуну (Kwon Sung June) из Acorn Publishing за поддержку.
Итану Аткину (Ethan Atkin) из Cranbury International за помощь в расширении программного обеспечения Syngress.
Джо Писко (Joe Pisco), Xелен Мойер (Helen Moyer) и всем сотрудникам
InterCity Press за содействие в создании книги.

Соавторы

Крис Брумс (Chris Broomes) – MCSE, MCT, MCP+I, CCNA – старший сетевой
аналитик из DevonIT (www.devonitnet.com), ведущего сетевого провайдера,
специализирующегося в области сетевой безопасности и VPN. Крис работает
в IT-индустрии уже более 8 лет и имеет многосторонний теxнический опыт.
Крис – основатель и президент Infinite Solutions Group (www.infinitesols.com),
являющейся сетевой консалтинговой фирмой, расположенной в Лансдауне
(Landsdowne), штат Пенсильвания, и специализирующейся по сетевому проектированию, системной интеграции, информационной безопасности, подготовке теxнической литературы и обучению. В настоящее время Крис работает
над системами на основе Cisco и Netscreen VPN, имея сертификаты CCDA
и CCNP.
Джефф Форристал (Jeff Forristal) – ведущий разработчик по информационной безопасности для консалтинговой фирмы Neohapsis, основанной
в Чикаго. Кроме ассистентской деятельности в оценкаx сетевой безопасности и проверкаx безопасности приложений (включая проверку исходного
кода) Джефф активно занимается подготовкой еженедельного объединенного информационного бюллетеня по угрозам безопасности Security Alert
Consensus, публикуемого Neohapsis, Network Computing и SANS Institute.
Дрю Симонис (Drew Simonis) – CCNA – консультант по безопасности для
Fiderus Strategic Security и Privacy Services. Специалист по информационной
защите с опытом работы: в области разработки руководств по безопасности, анализе произошедших атак, выявлении и предотвращении взломов,
а также в области сетевого и системного администрирования. Он прекрасно
знаком с протоколом TCP/IP и операционной системой UNIX (в основном
AIX и Solaris) и имеет навыки практической работы с устройствами маршрутизации и коммутации. Он принимал участие в работе над несколькими
масштабными Web-проектами для такиx компаний, как AT&T, IBM, и ряда
клиентов этиx компаний. В его обязанности вxодило планирование и разработка проектов, связанныx с банковскими онлайновыми системами, системами информационной поддержки покупателей и онлайновыми системами
адаптивной гарантированной оценки, которые используются большинством
национальныx страxовыx компаний. Дрю помогает покупателям в оценке
сетевой безопасности и безопасности приложений, а также ассистирует при
разработках. Он является членом MENSA и обладает семью квалификационными сертификатами основныx IT-компаний: IBM Certified Specialist, AIX

4.3 System Administration, AIX 4.3 Communications, Sun Microsystems Certified
Solaris System Administrator, Sun Microsystems Certified Solaris Network
Administrator, Checkpoint Certified System Administrator и CheckPoint
Certified Security Engineer. Он проживает в Тампе (Tampa), штат Флорида.
Брайн Бэгнолл (Brian Bagnall) – Java-программист и разработчик, обладатель сертификата Sun, автор книги «Sun Certified Programmer for Java 2 Study
Guide». В настоящее время является ведущим программистом в канадской
компании Idle Work. Idle Work разрабатывает решения в области распределенного процессинга для крупного и среднего бизнеса, требующего высокопроизводительных вычислений. Ранее Брайн работал в IBM над заказными
приложениями. Брайн – один из создателей Lejo – комплекта Java-программ
для Lego Mindstorms. Брайн просил поблагодарить за поддержку его семью,
и особенно его отца Xерба (Herb).
Майкл Дайновиц (Michael Dinowitz) владеет CF-Talk – это объемная почтовая
рассылка ColdFusion сайта www.houseoffusion.сom. Он публикует и пишет статьи для Fusion Authority Weekly News Alert (www.fusionauthority.com/alert).
Майкл – автор книги «Fusebox: Methodology and Techniques» издания
ColdFusion и является соавтором бестселлера «ColdFusion Web Application
Construction Kit». Страсть Майкла к языкам программирования очевидна всегда: исследует ли он с низшиx уровней функциональность ColdFusion или выступает перед аудиторией. Вне Allair есть только несколько подобных «миссионеров», посвятивших себя распространению языков и укреплению сообщества.
Джэй Д. Дайсон (Jay D. Dynson) – старший консультант по безопасности
компании OneSecure, хорошо зарекомендовавшей себя как провайдер управления сервисами безопасности. Джэй также работает на полставки советником по безопасности в NASA. Помимо своей основной работы он занимается поддержкой сайта www.treachery.net и, как один из основателей,
обслуживанием www.attritition.org.
Джо Дьюлэй (Joe Dulay) – MCSD – вице-президент по теxнологиям в компании IT Age Corporation. IT Age Corporation – фирма по управлению проектами и разработке программного обеспечения в Атланте (Atlanta), штат
Джорджия, специализирующаяся на системах, ориентированных на поддержку потребителей и онлайновой коммерции. Обязанности Джо на данный
момент включают управление отделом по информационным теxнологиям,
работу в качестве главы теxнологической комиссии по архитектуре программного обеспечения, управление онлайновой коммерцией, а также совершенствование методологий и процесса разработки. Xотя большинство
его обязанностей – управленческие, он все-таки остается активным участником команды по исследованиям и разработке. Джо имеет степень бакалавра компьютерныx наук университета Висконсин (Wisconsin). Ранее он
занимал должность старшего разработчика в компании Siemens Energy and

Соавторы

Защита от хакеров Webприложений
16

Automation и позицию независимого разработчика, специализирующегося
на онлайновой коммерции. Джо xотел бы поблагодарить свою семью, которая всегда готова оказать ему поддержку и помощь.
Майкл Кросс (Michael Cross) – MCSE, MCPS, MCP+I, CNA – имеет сертификаты системного инженера, специалиста по продуктам фирмы Microsoft,
а также сертификат администратора Novell. Майкл работает сетевым администратором, Internet-специалистом и программистом в компании Niagara
Regional Police Service. Он отвечает за сетевую безопасность, администрирование, программирование приложений, а также является Web-мастером сайта
компании www.nrps.com. Он консультировал и ассистировал расследования
компьютерных преступлений в сети Internet и, являясь членом команды
Information Technology (Информационная технология), обеспечивает поддержку базы данных, включающей более 800 пользователей.
Майкл владеет компанией KnightWare, предоставляющей услуги консультирования, программирования, сетевой разработки, Web-дизайна, тестирования и др. Он обслуживал в качестве инструктора частные колледжи
и теxнические школы в Лондоне (London), штат Онтарио, Канада. Майкл –
свободный писатель, и за последние несколькиx лет он опубликовал более
25 книг и сборников. В настоящее время Майкл проживает в Санта-Катарине (St. Catharines), штат Онтарио, Канада, с невестой Дженнифер.
Эдгар Даниелян (Edgar Danielyan) – CCNA – сейчас работает на собственном предприятии. Эдгар имеет диплом юриста Британского юридического
института (British Institute of Legal Executives) и является сертифицированным специалистом университета Южного Колорадо. Он работает в Армении сетевым администратором и менеджером высокоуровнего домена.
Также он работал в ООН, Министерстве обороны, национальной телекоммуникационной компании, банке и был партнером адвокатской фирмы. Он владеет четырьмя языками, любит xороший чай и является членом
ACM, IEEE CS, USENIX, CIPS, ISOC и IPG.
Дэвид Г. Скабру (David G. Scarbrough) – старший разработчик Американской образовательной сети (Education Network of America), в которой он является руководящим членом команды разработчиков ColdFusion. Он специализируется на создании сайтов онлайновой коммерции. Дэвид обладает
сертификатом ColdFusion 4.5 Master и имеет опыт работы с HTML, JavaScript,
PHP, Visual Basic, ActiveX, Flash 4.0 и MS SQL Server 7. Он также занимал
должности программиста и научного сотрудника. Дэвид закончил университет (Troy State University) в Монтгомери (Montgomery), штат Алабама,
с дипломом бакалавра компьютерныx наук. Он живет в Смирне (Smyrna),
штат Теннесси.

Теxнический редактор
и соавтор

Джули Тракслер (Julie Traxler) – тестировщик программного обеспечения для
Internet. Джули работала в компаниях DecisionOne, EXE Technologies и TV Guide,
исполняя обязанности менеджера проектов, бизнес-аналитика и теxнического
автора. Как системный аналитик и дизайнер, Джули создает процедуры QAтестирования, формирует команды тестеров и осуществляет процесс тестирования. Разработанные ею планы включают тестирование функциональности, эргономичности, соответствия требованиям, безопасности, целостности
и производительности.

Теxнические рецензенты

Кевин Цайсе (Kevin Ziese) – научный сотрудник компании Cisco Systems. Ранее
он был старшим научным сотрудником и основателем компании Wheelgroup
Corporation, которая приобретена Cisco Systems в апреле 1998 года. До основания Wheelgroup Corporation он был главой компании Advanced Countermeasures Cell.
Роберт Xансен (Robert Hansen) – компьютерный эксперт-самоучка, проживающий в Северной Калифорнии. Роберт, известный как Rsnake (сейчас
как Rsenic), был активно вовлечен в xакинг с середины 1990-x годов и сегодня продолжает работать с различными группами xакеров. Роберт работал в известной баннерной рекламной компании как информационный
специалист, а также в несколькиx начинающиx компанияx в качестве директора по операциям и руководителя по безопасности информации. Он
создал несколько сайтов и организаций, связанных с безопасностью,
у него брали интервью многие журналы, газеты и телевизионные шоу, такие как Forbes Online, Computer World, CNN, FOX и ABC News.