Питер Яворски - Ловушка для багов. Полевое руководство по веб-хакингу
Название: | Ловушка для багов. Полевое руководство по веб-хакингу | |
Автор: | Питер Яворски | |
Жанр: | Интернет, Хакерство | |
Изадано в серии: | Библиотека программиста | |
Издательство: | Питер | |
Год издания: | 2020 | |
ISBN: | 978-5-4461-1708-6 | |
Отзывы: | Комментировать | |
Рейтинг: | ||
Поделись книгой с друзьями! Помощь сайту: донат на оплату сервера |
Краткое содержание книги "Ловушка для багов. Полевое руководство по веб-хакингу"
«Чтобы чему-то научиться, надо применять знания на практике. Именно так мы освоили ремесло взлома» — Майкл Принс и Йоберт Абма, соучредители HackerOne. «Ловушка для багов» познакомит вас с белым хакингом — поиском уязвимостей в системе безопасности. Неважно, являетесь ли вы новичком в области кибербезопасности, который хочет сделать интернет безопаснее, или опытным разработчиком, который хочет писать безопасный код, Питер Яворски покажет вам, как это делается. В книге рассматриваются распространенные типы ошибок и реальные хакерские отчеты о таких ком- паниях, как Twitter, Facebook* (Запрещенная организация в РФ), Google, Uber и Starbucks. Из этих отчетов вы поймете принципы работы уязвимостей и сможете сделать безопасней собственные приложения. Вы узнаете: • как работает интернет, и изучите основные концепции веб-хакинга; • как злоумышленники взламывают веб-сайты; • как подделка запросов заставляет пользователей отправлять информацию на другие веб-сайты; • как получить доступ к данным другого пользователя; • с чего начать охоту за уязвимостями; • как заставить веб-сайты раскрывать информацию с помощью фейковых запросов. 16+
Читаем онлайн "Ловушка для багов. Полевое руководство по веб-хакингу". [Страница - 3]
- 1
- 2
- 3
- 4
- 5
- . . .
- последняя (60) »
Итоги.................................................................................................................... 79
Глава 7. Межсайтовый скриптинг............................................................................. 80
Виды XSS.............................................................................................................. 84
Shopify Wholesale.................................................................................................. 87
Форматирование валюты в Shopify....................................................................... 88
Хранимая уязвимость XSS в Yahoo! Mail................................................................ 90
Поиск по картинкам Google.................................................................................. 92
Хранимая уязвимость XSS в Google Tag Manager................................................... 93
XSS в United Airlines.............................................................................................. 94
Итоги.................................................................................................................... 98
Оглавление 9
Глава 8. Внедрение шаблонов.................................................................................. 99
Внедрение шаблонов на стороне сервера............................................................. 99
Внедрение шаблонов на стороне клиента........................................................... 100
Внедрение шаблона AngularJS на сайте Uber...................................................... 101
Внедрение шаблонов Flask Jinja2 на сайте Uber.................................................. 102
Динамический генератор в Rails......................................................................... 105
Внедрение шаблонов Smarty на сайте Unikrn...................................................... 106
Итоги.................................................................................................................. 110
Глава 9. Внедрение SQL......................................................................................... 111
Реляционные базы данных................................................................................. 111
Контрмеры в отношении SQLi............................................................................. 113
Слепая атака SQLi на сайт Yahoo! Sports............................................................. 114
Слепая уязвимость SQLi на сайте Uber................................................................ 118
Уязвимость SQLi в Drupal.................................................................................... 121
Итоги.................................................................................................................. 125
Глава 10. Подделка серверных запросов................................................................ 126
Демонстрация последствий подделки серверных запросов................................. 126
Сравнение GET- и POST-запросов....................................................................... 127
Выполнение слепых атак SSRF........................................................................... 128
Атака на пользователей с помощью ответов SSRF.............................................. 129
Уязвимость SSRF на сайте ESEA и извлечение метаданных из AWS..................... 129
Уязвимость SSRF на сайте Google с применением внутреннего DNS-запроса....... 132
Сканирование внутренних портов с помощью веб-хуков..................................... 136
Итоги.................................................................................................................. 138
10 Оглавление
Глава 11. Внешние XML-сущности.......................................................................... 139
Расширяемый язык разметки.............................................................................. 139
Определение типа документа........................................................................ 140
XML-сущности................................................................................................ 142
Как работает атака XXE...................................................................................... 143
Чтение внутренних файлов Google..................................................................... 144
ХХЕ в Facebook с применением Microsoft Word.................................................... 145
XXE в Wikiloc....................................................................................................... 148
Итоги.................................................................................................................. 150
Глава 12. Удаленное выполнение кода.................................................................. 151
Выполнение команд оболочки............................................................................ 151
Выполнение функций......................................................................................... 153
Стратегии обострения удаленного выполнения кода.......................................... 154
Уязвимость в ImageMagick на сайте Polyvore...................................................... 155
Уязвимость RCE на сайте facebooksearch.algolia.com........................................... 158
Атака RCE через SSH.......................................................................................... 160
Итоги.................................................................................................................. 161
Глава 13. Уязвимости памяти................................................................................. 162
Переполнение буфера........................................................................................ 163
Чтение вне допустимого диапазона.................................................................... 166
Целочисленное переполнение в PHP‑функции ftp_genlist()................................. 167
Модуль Python hotshot........................................................................................ 168
Чтение вне допустимого диапазона в libcurl........................................................ 169
Итоги.................................................................................................................. 170
Оглавление 11
Глава 14. Захват --">
- 1
- 2
- 3
- 4
- 5
- . . .
- последняя (60) »
Книги схожие с «Ловушка для багов. Полевое руководство по веб-хакингу» по жанру, серии, автору или названию:
Джин Ким, Патрик Дебуа, Джон Уиллис (DevOps) и др. - Руководство по DevOps Жанр: Программирование: прочее Год издания: 2018 |
Чарльз Р. Северанс - Python для всех Жанр: Интернет Год издания: 2021 |
Брайан Хоган - HTML5 и CSS3. Веб-разработка по стандартам нового поколения Жанр: Web-дизайн Год издания: 2014 Серия: Библиотека программиста |
Другие книги из серии «Библиотека программиста»:
Владстон Феррейра Фило - Теоретический минимум по Computer Science Жанр: Другие языки и системы программирования Год издания: 2018 Серия: Библиотека программиста |
Дэвид Клинтон - Linux в действии Жанр: Linux Год издания: 2019 Серия: Библиотека программиста |
Курупа Чиннатхамби - JavaScript с нуля Жанр: Java, Java Script Год издания: 2021 Серия: Библиотека программиста |
Норман Мэтлофф - Искусство программирования на R. Погружение в большие данные Жанр: Другие языки и системы программирования Год издания: 2019 Серия: Библиотека программиста |