Testy penetracyjne nowoczesnych serwisów. Kompendium inżynierów bezpieczeństwa - Helion
Tytuł oryginału: Mastering Modern Web Penetration Testing
Tłumaczenie: Rafał Jońca
ISBN: 978-83-283-3459-5
stron: 248, Format: 170x230, okładka: miękka
Data wydania: 2017-08-21
Księgarnia: Helion
Cena książki: 54,90 zł
Testy penetracyjne nowoczesnych serwisów. Kompendium inżynierów bezpieczeÅ„stwa
Sieć staÅ‚a siÄ™ niebezpiecznym miejscem. MiÄ™dzy grasujÄ…cymi zÅ‚oczyÅ„cami a inżynierami bezpieczeÅ„stwa aplikacji trwa ciÄ…gÅ‚y wyÅ›cig zbrojeÅ„. Mimo to oczywiste jest, że uzyskanie stuprocentowego bezpieczeÅ„stwa jest niemożliwe. JednÄ… z technik zabezpieczania aplikacji sÄ… testy penetracyjne, które polegajÄ… na atakowaniu systemu różnymi metodami, aby odnaleźć jego sÅ‚abe punkty i pokazać, jak można siÄ™ do niego wÅ‚amać.
Niniejsza książka stanowi wyczerpujÄ…ce źródÅ‚o wiedzy dla testerów przeprowadzajÄ…cych analizÄ™ aplikacji internetowej. Opisano tu zarówno najnowsze, jak i klasyczne techniki Å‚amania zabezpieczeÅ„ — bardzo czÄ™sto starsze metody rozwijajÄ… siÄ™ w różnych kierunkach i nie należy o nich zapominać. MiÄ™dzy innymi przedstawiono informacje o atakach XML, w tym XXE, oraz metody wykorzystywania sÅ‚abych stron OAuth 2.0. Omówiono również XSS, CSRF, Metasploit i wstrzykiwanie SQL. Nie zabrakÅ‚o również opisu rzeczywistych przypadków testowania aplikacji.
- Nowe lub mniej popularne techniki ataku na strony WWW takie jak wstrzykiwanie obiektów PHP lub wykorzystanie danych XML.
- Sposób pracy z narzÄ™dziami do przeprowadzania testów bezpieczeÅ„stwa, aby w ten sposób zautomatyzować żmudne zadania.
- Różne rodzaje nagÅ‚ówków HTTP wspomagajÄ…cych zapewnienie wysokiego poziomu bezpieczeÅ„stwa aplikacji.
- Wykorzystywanie i wykrywanie różnego rodzaju podatnoÅ›ci XSS.
- Ochronę aplikacji dzięki technikom filtracji.
- Stare techniki ataku takie jak XSS, CSRF i wstrzykiwanie SQL, ale w nowej osłonie.
- Techniki ataku takie jak XXE i DoS wykorzystujÄ…ce pliki XML.
- Sposoby testowania API typu REST w celu znalezienia różnego rodzaju podatnoÅ›ci i wycieków danych.
Testy penetracyjne — klucz do bezpieczeÅ„stwa Twojej aplikacji!
Prakhar Prasad mieszka w Indiach. Jest ekspertem w dziedzinie bezpieczeÅ„stwa aplikacji specjalizujÄ…cym siÄ™ w testach penetracyjnych. W 2014 roku zostaÅ‚ sklasyfikowany na dziesiÄ…tej pozycji w Å›wiatowym rankingu HackerOne. ZdobyÅ‚ kilka nagród za znalezienie luk bezpieczeÅ„stwa w takich serwisach, jak Google, Facebook, Twitter, PayPal czy Slack. Posiada certyfikaty z OSCP. Przeprowadza testy bezpieczeÅ„stwa dla różnych organizacji rzÄ…dowych, pozarzÄ…dowych i edukacyjnych.
Osoby które kupowały "Testy penetracyjne nowoczesnych serwisów. Kompendium inżynierów bezpieczeństwa", wybierały także:
- Learning Java Lambdas 373,75 zł, (29,90 zł -92%)
- The DevOps 2.1 Toolkit: Docker Swarm 332,22 zł, (29,90 zł -91%)
- Securing Network Infrastructure 199,33 zł, (29,90 zł -85%)
- Mastering Linux Security and Hardening 186,88 zł, (29,90 zł -84%)
- Blockchain Development with Hyperledger 175,88 zł, (29,90 zł -83%)
Spis treści
Testy penetracyjne nowoczesnych serwisów. Kompendium inżynierów bezpieczeństwa -- spis treści
O autorze (7)
O redaktorze merytorycznym (9)
Wstęp (11)
Rozdział 1. Typowe protokoły bezpieczeństwa (17)
- SOP (17)
- CORS (21)
- Kodowanie URL, czyli kodowanie z procentem (24)
- Podwójne kodowanie (26)
- Kodowanie Base64 (28)
- Podsumowanie (31)
Rozdział 2. Zbieranie informacji (33)
- Techniki zbierania informacji (33)
- Wyliczanie domen, plików i zasobów (34)
- Fierce (35)
- theHarvester (38)
- SubBrute (39)
- CeWL (41)
- DirBuster (42)
- WhatWeb (44)
- Shodan (48)
- DNSdumpster (50)
- Wyszukiwanie domen po odwróconym adresie IP - YouGetSignal (50)
- Pentest-Tools (52)
- Zaawansowane wyszukiwanie Google (52)
- Podsumowanie (56)
Rozdział 3. Ataki XSS (57)
- Odbity XSS (58)
- Zapisany XSS (62)
- Ataki XSS wykorzystujÄ…ce Flasha - funkcja ExternalInterface.call() (70)
- Znaczniki HttpOnly i bezpieczne pliki cookie (71)
- Ataki XSS bazujÄ…ce na obiektach DOM (72)
- Narzędzie BeEF, czyli wykorzystywanie podatności XSS (75)
- Podsumowanie (81)
Rozdział 4. Atak CSRF (83)
- Wprowadzenie do CSRF (84)
- Wykonywanie ataku CSRF dla żądań POST (85)
- W jaki sposób programiÅ›ci zapobiegajÄ… CSRF? (86)
- Podatność CSRF PayPala dotyczÄ…ca zmiany numerów telefonów (87)
- Wykorzystanie podatności na atak CSRF w żądaniach typu JSON (88)
- Wykorzystanie ataku XSS do wykradania tokenów CSRF (90)
- Wykorzystanie słabości tokena CSRF (91)
- Flash na ratunek (92)
- Podsumowanie (96)
Rozdział 5. Wykorzystanie wstrzykiwania SQL (97)
- Instalacja SQLMap w systemie Kali Linux (98)
- Wprowadzenie do SQLMap (99)
- Pobieranie danych - scenariusz z wykorzystywaniem błędu (102)
- SQLMap i modyfikacja adresów URL (106)
- Przyspieszamy cały proces (107)
- Pobieranie danych z bazy w scenariuszach wykorzystujących czas lub działających na ślepo (109)
- Odczyt i zapis plików (111)
- Obsługa wstrzykiwania w żądaniu POST (115)
- Wstrzykiwanie SQL do stron wymagajÄ…cych logowania (118)
- Powłoka SQL (119)
- Powłoka poleceń (119)
- Unikanie filtrów - skrypty modyfikujÄ…ce (121)
- Konfiguracja serwera pośredniczącego (124)
- Podsumowanie (124)
RozdziaÅ‚ 6. PodatnoÅ›ci na atak zwiÄ…zane z przesyÅ‚aniem plików (127)
- Podatność na atak zwiÄ…zana z przesyÅ‚aniem plików - wprowadzenie (128)
- Zdalne wykonywanie kodu (129)
- Powrót do XSS (134)
- Ataki typu DoS (136)
- ObejÅ›cie zabezpieczeÅ„ zwiÄ…zanych z przesyÅ‚aniem plików (138)
- Podsumowanie (146)
Rozdział 7. Metasploit i sieć WWW (149)
- Moduły Metasploit (149)
- Użycie Msfconsole (151)
- Wykorzystanie moduÅ‚ów pomocniczych zwiÄ…zanych z aplikacjami internetowymi (153)
- Wykorzystanie WMAP (157)
- Generowanie w Metasploit Å‚adunków dla aplikacji internetowych (161)
- Podsumowanie (166)
Rozdział 8. Ataki XML (167)
- Podstawy formatu XML (168)
- Atak XXE (172)
- XML do kwadratu (178)
- Podsumowanie (180)
RozdziaÅ‚ 9. Nowe wektory ataków (181)
- Atak SSRF (181)
- Atak IDOR (188)
- Przebijanie DOM (194)
- Atak RPO (196)
- Podmiana interfejsu użytkownika (201)
- Wstrzykiwanie obiektów PHP (204)
- Podsumowanie (209)
Rozdział 10. Bezpieczeństwo Oauth 2.0 (211)
- Wprowadzenie do modelu OAuth 2.0 (212)
- Otrzymywanie upoważnień (215)
- Użycie OAuth dla zabawy i zysku (219)
- Podsumowanie (223)
Rozdział 11. Metodologia testowania API (225)
- Zrozumieć API typu REST (225)
- Konfiguracja środowiska testowego (230)
- Nauka API (232)
- Podstawowa metodologia testowania API dla programistów (237)
Skorowidz (243)