Питер Яворски - Ловушка для багов. Полевое руководство по веб-хакингу
Название: | Ловушка для багов. Полевое руководство по веб-хакингу | |
Автор: | Питер Яворски | |
Жанр: | Интернет, Хакерство | |
Изадано в серии: | Библиотека программиста | |
Издательство: | Питер | |
Год издания: | 2020 | |
ISBN: | 978-5-4461-1708-6 | |
Отзывы: | Комментировать | |
Рейтинг: | ||
Поделись книгой с друзьями! Помощь сайту: донат на оплату сервера |
Краткое содержание книги "Ловушка для багов. Полевое руководство по веб-хакингу"
«Чтобы чему-то научиться, надо применять знания на практике. Именно так мы освоили ремесло взлома» — Майкл Принс и Йоберт Абма, соучредители HackerOne. «Ловушка для багов» познакомит вас с белым хакингом — поиском уязвимостей в системе безопасности. Неважно, являетесь ли вы новичком в области кибербезопасности, который хочет сделать интернет безопаснее, или опытным разработчиком, который хочет писать безопасный код, Питер Яворски покажет вам, как это делается. В книге рассматриваются распространенные типы ошибок и реальные хакерские отчеты о таких ком- паниях, как Twitter, Facebook* (Запрещенная организация в РФ), Google, Uber и Starbucks. Из этих отчетов вы поймете принципы работы уязвимостей и сможете сделать безопасней собственные приложения. Вы узнаете: • как работает интернет, и изучите основные концепции веб-хакинга; • как злоумышленники взламывают веб-сайты; • как подделка запросов заставляет пользователей отправлять информацию на другие веб-сайты; • как получить доступ к данным другого пользователя; • с чего начать охоту за уязвимостями; • как заставить веб-сайты раскрывать информацию с помощью фейковых запросов. 16+
Читаем онлайн "Ловушка для багов. Полевое руководство по веб-хакингу". [Страница - 2]
- 1
- 2
- 3
- 4
- . . .
- последняя (60) »
Глава 20. Отчеты об уязвимостях .......................................................................... 242
Приложение А. Инструменты................................................................................ 249
Приложение Б. Дополнительный материал .......................................................... 259
Оглавление
Об авторе................................................................................................................ 15
О научном редакторе............................................................................................ 16
Предисловие........................................................................................................... 17
Благодарности....................................................................................................... 19
Введение................................................................................................................. 20
На кого рассчитана эта книга............................................................................... 21
Как читать эту книгу............................................................................................. 21
О чем эта книга.................................................................................................... 22
Замечания о хакинге............................................................................................ 24
От издательства................................................................................................... 25
Глава 1. Основы охоты за уязвимостями.................................................................. 26
Уязвимости и награды за их нахождение.............................................................. 26
Клиент и сервер................................................................................................... 27
Что происходит, когда вы заходите на веб‑сайт................................................... 28
Шаг 1. Извлечение доменного имени.............................................................. 28
Шаг 2. Получение IP-адреса............................................................................ 28
Шаг 3. Установление TCP-соединения............................................................. 29
Шаг 4. Отправка HTTP-запроса........................................................................ 30
Оглавление 7
Шаг 5. Ответ сервера...................................................................................... 31
Шаг 6. Отображение ответа............................................................................ 32
HTTP-запросы....................................................................................................... 33
Методы запроса.............................................................................................. 33
Протокол HTTP не хранит состояние............................................................... 34
Итоги.................................................................................................................... 35
Глава 2. Open Redirect.............................................................................................. 36
Как работает Open Redirect................................................................................... 37
Open Redirect на странице установки темы оформления Shopify........................... 39
Open Redirect на странице входа в Shopify............................................................ 39
Перенаправление на межсайтовой странице HackerOne....................................... 40
Итоги.................................................................................................................... 42
Глава 3. Засорение HTTP-параметров....................................................................... 43
HPP на серверной стороне.................................................................................... 43
HPP на клиентской стороне.................................................................................. 45
Кнопки социальных сетей в HackerOne................................................................. 46
Уведомления об отписке в Twitter......................................................................... 47
Web Intents в Twitter............................................................................................. 49
Итоги.................................................................................................................... 51
Глава 4. Межсайтовая подделка запросов................................................................ 52
Аутентификация................................................................................................... 53
CSRF в GET-запросах............................................................................................ 54
CSRF в POST-запросах.......................................................................................... 55
Защита от атак CSRF............................................................................................ 57
Отключение Twitter от Shopify.............................................................................. 58
8 Оглавление
Изменение пользовательских зон в Instacart........................................................ 59
Полный захват учетной записи Badoo................................................................... 61
Итоги.................................................................................................................... 63
Глава 5. Внедрение HTML-элемента и подмена содержимого.................................... 64
Внедрение комментариев в Coinbase путем кодирования символов...................... 65
Непредвиденное внедрение HTML в HackerOne.................................................... 67
Обход исправления непредвиденного внедрения HTML в HackerOne.................... 70
Подмена содержимого в Within Security................................................................ 71
Итоги.................................................................................................................... 73
Глава 6. Внедрение символов перевода строки........................................................ 74
Передача скрытого HTTP-запроса......................................................................... 74
Разделение ответа в v.shopify.com........................................................................ 75
Разделение --">
- 1
- 2
- 3
- 4
- . . .
- последняя (60) »
Книги схожие с «Ловушка для багов. Полевое руководство по веб-хакингу» по жанру, серии, автору или названию:
Игорь Ашманов - Жизнь внутри пузыря. Неформальное руководство менеджера по выживанию в инвестируемом проекте Жанр: Деловая литература: прочее Год издания: 2007 |
Марина Козинаки - В голос! Нескучное руководство по созданию подкаста Жанр: Руководства и инструкции Год издания: 2021 |
Этан Браун - Изучаем JavaScript. Руководство по созданию современных веб-сайтов Жанр: Java, Java Script Год издания: 2017 |
Петр Юрьевич Левашов - Киберкрепость: всестороннее руководство по компьютерной безопасности Жанр: Околокомпьютерная литература Год издания: 2024 Серия: Библиотека программиста |
Другие книги из серии «Библиотека программиста»:
Скотт Мейерс - Эффективное использование STL Жанр: C, C++, C# Год издания: 2002 Серия: Библиотека программиста |
Мартин Форд - Архитекторы интеллекта: Вся правда об искусственном интеллекте от его создателей Жанр: Искусственный интеллект Год издания: 2020 Серия: Библиотека программиста |
Джульен Данжу - Путь Python. Черный пояс по разработке, масштабированию, тестированию и развертыванию Жанр: Python Год издания: 2020 Серия: Библиотека программиста |
С. Николенко, А. Кадурин, Е. Архангельская - Глубокое обучение Жанр: Искусственный интеллект Год издания: 2018 Серия: Библиотека программиста |