Testy penetracyjne nowoczesnych serwisów. Kompendium inżynierów bezpieczeństwa

 
Testy penetracyjne nowoczesnych serwisów. Kompendium inżynierów bezpieczeństwa
Zawiera darmowych rozdziałów: 5
Stron w książce: 248 Udostępniono darmowych stron: 14
Data wydania: 2017-08-21Przejdź na stronę księgarni
Czytano online: 1Cena książki drukowanej: 54,90 zł
Język wydania: PolishWydawnictwo: Helion
Pobierz pdfCzytaj Alt+1Czytaj online
( Alt+1 )

Testy penetracyjne — klucz do bezpieczeństwa Twojej aplikacji!

Sieć stała się niebezpiecznym miejscem. Między grasującymi w niej złoczyńcami a inżynierami bezpieczeństwa aplikacji trwa wyścig zbrojeń. Mimo to oczywiste jest, że uzyskanie stuprocentowego bezpieczeństwa jest niemożliwe. Jedną z technik zabezpieczania aplikacji są testy penetracyjne, które polegają na atakowaniu systemu różnymi metodami, aby odnaleźć jego słabe punkty i pokazać, jak można się do niego włamać.

Niniejsza książka stanowi wyczerpujące źródło wiedzy dla testerów przeprowadzających analizę aplikacji internetowych. Opisano tu zarówno najnowsze, jak i klasyczne techniki łamania zabezpieczeń — bardzo często starsze metody rozwijają się w różnych kierunkach i nie należy o nich zapominać. Między innymi przedstawiono informacje o atakach XML, w tym XXE, oraz metody wykorzystywania słabych stron OAuth 2.0. Omówiono również XSS, CSRF, Metasploit i wstrzykiwanie SQL. Nie zabrakło również opisu rzeczywistych przypadków testowania aplikacji.

 

W tej książce między innymi:
  • podstawowe techniki zapewniania bezpieczeństwa w sieci
  • prowadzenie rozpoznania przed atakiem
  • mniej popularne wektory ataków, w tym RPO i przebijanie DOM
  • metody testowania API
  • podstawowe błędy popełniane przez programistów

 

Prakhar Prasad mieszka w Indiach. Jest ekspertem w dziedzinie bezpieczeństwa aplikacji specjalizującym się w testach penetracyjnych. W 2014 roku został sklasyfikowany na dziesiątej pozycji w światowym rankingu HackerOne. Zdobył kilka nagród za znalezienie luk bezpieczeństwa w takich serwisach, jak Google, Facebook, Twitter, PayPal czy Slack. Posiada certyfikaty z OSCP. Przeprowadza testy bezpieczeństwa dla różnych organizacji rządowych, pozarządowych i edukacyjnych.

Format XML jest ciągle popularny przy wykorzystywaniu nie tylko na stronach internetowych, służy tylko do przechowywania danych – jest to zwykły plik tekstowy. W darmowym rozdziale poznamy podstawy formatu XML (elementy XML, atrybuty XML, kodowanie znaków specjalnych xml), atak XXE. Poznamy różne rodzaje ataków sieciowych.

Darmowy rozdział:

Rozdział 8. Ataki XML (167)

  • Podstawy formatu XML (168)
  • Atak XXE (172)
  • XML do kwadratu (178)
  • Podsumowanie (180)

O autorze (7)

O redaktorze merytorycznym (9)

Wstęp (11)

Rozdział 1. Typowe protokoły bezpieczeństwa (17)

  • SOP (17)
  • CORS (21)
  • Kodowanie URL, czyli kodowanie z procentem (24)
  • Podwójne kodowanie (26)
  • Kodowanie Base64 (28)
  • Podsumowanie (31)

Rozdział 2. Zbieranie informacji (33)

  • Techniki zbierania informacji (33)
  • Wyliczanie domen, plików i zasobów (34)
  • Fierce (35)
  • theHarvester (38)
  • SubBrute (39)
  • CeWL (41)
  • DirBuster (42)
  • WhatWeb (44)
  • Shodan (48)
  • DNSdumpster (50)
  • Wyszukiwanie domen po odwróconym adresie IP - YouGetSignal (50)
  • Pentest-Tools (52)
  • Zaawansowane wyszukiwanie Google (52)
  • Podsumowanie (56)

Rozdział 3. Ataki XSS (57)

  • Odbity XSS (58)
  • Zapisany XSS (62)
  • Ataki XSS wykorzystujące Flasha - funkcja ExternalInterface.call() (70)
  • Znaczniki HttpOnly i bezpieczne pliki cookie (71)
  • Ataki XSS bazujące na obiektach DOM (72)
  • Narzędzie BeEF, czyli wykorzystywanie podatności XSS (75)
  • Podsumowanie (81)

Rozdział 4. Atak CSRF (83)

  • Wprowadzenie do CSRF (84)
  • Wykonywanie ataku CSRF dla żądań POST (85)
  • W jaki sposób programiści zapobiegają CSRF? (86)
  • Podatność CSRF PayPala dotycząca zmiany numerów telefonów (87)
  • Wykorzystanie podatności na atak CSRF w żądaniach typu JSON (88)
  • Wykorzystanie ataku XSS do wykradania tokenów CSRF (90)
  • Wykorzystanie słabości tokena CSRF (91)
  • Flash na ratunek (92)
  • Podsumowanie (96)

Rozdział 5. Wykorzystanie wstrzykiwania SQL (97)

  • Instalacja SQLMap w systemie Kali Linux (98)
  • Wprowadzenie do SQLMap (99)
  • Pobieranie danych - scenariusz z wykorzystywaniem błędu (102)
  • SQLMap i modyfikacja adresów URL (106)
  • Przyspieszamy cały proces (107)
  • Pobieranie danych z bazy w scenariuszach wykorzystujących czas lub działających na ślepo (109)
  • Odczyt i zapis plików (111)
  • Obsługa wstrzykiwania w żądaniu POST (115)
  • Wstrzykiwanie SQL do stron wymagających logowania (118)
  • Powłoka SQL (119)
  • Powłoka poleceń (119)
  • Unikanie filtrów - skrypty modyfikujące (121)
  • Konfiguracja serwera pośredniczącego (124)
  • Podsumowanie (124)

Rozdział 6. Podatności na atak związane z przesyłaniem plików (127)

  • Podatność na atak związana z przesyłaniem plików - wprowadzenie (128)
  • Zdalne wykonywanie kodu (129)
  • Powrót do XSS (134)
  • Ataki typu DoS (136)
  • Obejście zabezpieczeń związanych z przesyłaniem plików (138)
  • Podsumowanie (146)

Rozdział 7. Metasploit i sieć WWW (149)

  • Moduły Metasploit (149)
  • Użycie Msfconsole (151)
  • Wykorzystanie modułów pomocniczych związanych z aplikacjami internetowymi (153)
  • Wykorzystanie WMAP (157)
  • Generowanie w Metasploit ładunków dla aplikacji internetowych (161)
  • Podsumowanie (166)

Rozdział 8. Ataki XML (167)

  • Podstawy formatu XML (168)
  • Atak XXE (172)
  • XML do kwadratu (178)
  • Podsumowanie (180)

Rozdział 9. Nowe wektory ataków (181)

  • Atak SSRF (181)
  • Atak IDOR (188)
  • Przebijanie DOM (194)
  • Atak RPO (196)
  • Podmiana interfejsu użytkownika (201)
  • Wstrzykiwanie obiektów PHP (204)
  • Podsumowanie (209)

Rozdział 10. Bezpieczeństwo Oauth 2.0 (211)

  • Wprowadzenie do modelu OAuth 2.0 (212)
  • Otrzymywanie upoważnień (215)
  • Użycie OAuth dla zabawy i zysku (219)
  • Podsumowanie (223)

Rozdział 11. Metodologia testowania API (225)

  • Zrozumieć API typu REST (225)
  • Konfiguracja środowiska testowego (230)
  • Nauka API (232)
  • Podstawowa metodologia testowania API dla programistów (237)

Skorowidz (243)

Informatyka » Hacking

https://facebook.com/wiedzanaplus
Alt + 9
Pomoc ( Alt + 0 )
Loading...