reklama - zainteresowany?

Testy penetracyjne nowoczesnych serwisów. Kompendium inżynierów bezpieczeństwa - Helion

Testy penetracyjne nowoczesnych serwisów. Kompendium inżynierów bezpieczeństwa
Autor: Prakhar Prasad
Tytuł oryginału: Mastering Modern Web Penetration Testing
Tłumaczenie: Rafał Jońca
ISBN: 978-83-283-3459-5
stron: 248, Format: 170x230, okładka: miękka
Data wydania: 2017-08-21
Księgarnia: Helion

Cena książki: 54,90 zł

Dodaj do koszyka Testy penetracyjne nowoczesnych serwisów. Kompendium inżynierów bezpieczeństwa

Tagi: Bezpieczeństwo systemów | Bezpieczeństwo WWW | Testy penetracyjne

Testy penetracyjne nowoczesnych serwisów. Kompendium inżynierów bezpieczeÅ„stwa

Sieć staÅ‚a siÄ™ niebezpiecznym miejscem. MiÄ™dzy grasujÄ…cymi zÅ‚oczyÅ„cami a inżynierami bezpieczeÅ„stwa aplikacji trwa ciÄ…gÅ‚y wyÅ›cig zbrojeÅ„. Mimo to oczywiste jest, że uzyskanie stuprocentowego bezpieczeÅ„stwa jest niemożliwe. JednÄ… z technik zabezpieczania aplikacji sÄ… testy penetracyjne, które polegajÄ… na atakowaniu systemu różnymi metodami, aby odnaleźć jego sÅ‚abe punkty i pokazać, jak można siÄ™ do niego wÅ‚amać.

Niniejsza książka stanowi wyczerpujÄ…ce źródÅ‚o wiedzy dla testerów przeprowadzajÄ…cych analizÄ™ aplikacji internetowej. Opisano tu zarówno najnowsze, jak i klasyczne techniki Å‚amania zabezpieczeÅ„ — bardzo czÄ™sto starsze metody rozwijajÄ… siÄ™ w różnych kierunkach i nie należy o nich zapominać. MiÄ™dzy innymi przedstawiono informacje o atakach XML, w tym XXE, oraz metody wykorzystywania sÅ‚abych stron OAuth 2.0. Omówiono również XSS, CSRF, Metasploit i wstrzykiwanie SQL. Nie zabrakÅ‚o również opisu rzeczywistych przypadków testowania aplikacji.

  • Nowe lub mniej popularne techniki ataku na strony WWW takie jak wstrzykiwanie obiektów PHP lub wykorzystanie danych XML.
  • Sposób pracy z narzÄ™dziami do przeprowadzania testów bezpieczeÅ„stwa, aby w ten sposób zautomatyzować żmudne zadania.
  • Różne rodzaje nagÅ‚ówków HTTP wspomagajÄ…cych zapewnienie wysokiego poziomu bezpieczeÅ„stwa aplikacji.
  • Wykorzystywanie i wykrywanie różnego rodzaju podatnoÅ›ci XSS.
  • OchronÄ™ aplikacji dziÄ™ki technikom filtracji.
  • Stare techniki ataku takie jak XSS, CSRF i wstrzykiwanie SQL, ale w nowej osÅ‚onie.
  • Techniki ataku takie jak XXE i DoS wykorzystujÄ…ce pliki XML.
  • Sposoby testowania API typu REST w celu znalezienia różnego rodzaju podatnoÅ›ci i wycieków danych.

Testy penetracyjne — klucz do bezpieczeÅ„stwa Twojej aplikacji!


Prakhar Prasad mieszka w Indiach. Jest ekspertem w dziedzinie bezpieczeÅ„stwa aplikacji specjalizujÄ…cym siÄ™ w testach penetracyjnych. W 2014 roku zostaÅ‚ sklasyfikowany na dziesiÄ…tej pozycji w Å›wiatowym rankingu HackerOne. ZdobyÅ‚ kilka nagród za znalezienie luk bezpieczeÅ„stwa w takich serwisach, jak Google, Facebook, Twitter, PayPal czy Slack. Posiada certyfikaty z OSCP. Przeprowadza testy bezpieczeÅ„stwa dla różnych organizacji rzÄ…dowych, pozarzÄ…dowych i edukacyjnych.

Dodaj do koszyka Testy penetracyjne nowoczesnych serwisów. Kompendium inżynierów bezpieczeństwa

 

Osoby które kupowały "Testy penetracyjne nowoczesnych serwisów. Kompendium inżynierów bezpieczeństwa", wybierały także:

  • Spring Security. Kurs video. Metody zabezpieczania aplikacji webowych
  • CyberbezpieczeÅ„stwo w bashu. Jak za pomocÄ… wiersza poleceÅ„ prowadzić dziaÅ‚ania zaczepne i obronne
  • Informatyka w kryminalistyce. Praktyczny przewodnik. Wydanie II
  • Wojny w cyberprzestrzeni. Koncepcje, strategie i taktyki, dziÄ™ki którym przetrwasz i ocalisz swojÄ… organizacjÄ™
  • BezpieczeÅ„stwo nowoczesnych aplikacji internetowych. Przewodnik po zabezpieczeniach

Dodaj do koszyka Testy penetracyjne nowoczesnych serwisów. Kompendium inżynierów bezpieczeństwa

Spis treści

Testy penetracyjne nowoczesnych serwisów. Kompendium inżynierów bezpieczeństwa -- spis treści

O autorze (7)

O redaktorze merytorycznym (9)

Wstęp (11)

Rozdział 1. Typowe protokoły bezpieczeństwa (17)

  • SOP (17)
  • CORS (21)
  • Kodowanie URL, czyli kodowanie z procentem (24)
  • Podwójne kodowanie (26)
  • Kodowanie Base64 (28)
  • Podsumowanie (31)

Rozdział 2. Zbieranie informacji (33)

  • Techniki zbierania informacji (33)
  • Wyliczanie domen, plików i zasobów (34)
  • Fierce (35)
  • theHarvester (38)
  • SubBrute (39)
  • CeWL (41)
  • DirBuster (42)
  • WhatWeb (44)
  • Shodan (48)
  • DNSdumpster (50)
  • Wyszukiwanie domen po odwróconym adresie IP - YouGetSignal (50)
  • Pentest-Tools (52)
  • Zaawansowane wyszukiwanie Google (52)
  • Podsumowanie (56)

Rozdział 3. Ataki XSS (57)

  • Odbity XSS (58)
  • Zapisany XSS (62)
  • Ataki XSS wykorzystujÄ…ce Flasha - funkcja ExternalInterface.call() (70)
  • Znaczniki HttpOnly i bezpieczne pliki cookie (71)
  • Ataki XSS bazujÄ…ce na obiektach DOM (72)
  • NarzÄ™dzie BeEF, czyli wykorzystywanie podatnoÅ›ci XSS (75)
  • Podsumowanie (81)

Rozdział 4. Atak CSRF (83)

  • Wprowadzenie do CSRF (84)
  • Wykonywanie ataku CSRF dla żądaÅ„ POST (85)
  • W jaki sposób programiÅ›ci zapobiegajÄ… CSRF? (86)
  • Podatność CSRF PayPala dotyczÄ…ca zmiany numerów telefonów (87)
  • Wykorzystanie podatnoÅ›ci na atak CSRF w żądaniach typu JSON (88)
  • Wykorzystanie ataku XSS do wykradania tokenów CSRF (90)
  • Wykorzystanie sÅ‚aboÅ›ci tokena CSRF (91)
  • Flash na ratunek (92)
  • Podsumowanie (96)

Rozdział 5. Wykorzystanie wstrzykiwania SQL (97)

  • Instalacja SQLMap w systemie Kali Linux (98)
  • Wprowadzenie do SQLMap (99)
  • Pobieranie danych - scenariusz z wykorzystywaniem bÅ‚Ä™du (102)
  • SQLMap i modyfikacja adresów URL (106)
  • Przyspieszamy caÅ‚y proces (107)
  • Pobieranie danych z bazy w scenariuszach wykorzystujÄ…cych czas lub dziaÅ‚ajÄ…cych na Å›lepo (109)
  • Odczyt i zapis plików (111)
  • ObsÅ‚uga wstrzykiwania w żądaniu POST (115)
  • Wstrzykiwanie SQL do stron wymagajÄ…cych logowania (118)
  • PowÅ‚oka SQL (119)
  • PowÅ‚oka poleceÅ„ (119)
  • Unikanie filtrów - skrypty modyfikujÄ…ce (121)
  • Konfiguracja serwera poÅ›redniczÄ…cego (124)
  • Podsumowanie (124)

RozdziaÅ‚ 6. PodatnoÅ›ci na atak zwiÄ…zane z przesyÅ‚aniem plików (127)

  • Podatność na atak zwiÄ…zana z przesyÅ‚aniem plików - wprowadzenie (128)
  • Zdalne wykonywanie kodu (129)
  • Powrót do XSS (134)
  • Ataki typu DoS (136)
  • ObejÅ›cie zabezpieczeÅ„ zwiÄ…zanych z przesyÅ‚aniem plików (138)
  • Podsumowanie (146)

Rozdział 7. Metasploit i sieć WWW (149)

  • ModuÅ‚y Metasploit (149)
  • Użycie Msfconsole (151)
  • Wykorzystanie moduÅ‚ów pomocniczych zwiÄ…zanych z aplikacjami internetowymi (153)
  • Wykorzystanie WMAP (157)
  • Generowanie w Metasploit Å‚adunków dla aplikacji internetowych (161)
  • Podsumowanie (166)

Rozdział 8. Ataki XML (167)

  • Podstawy formatu XML (168)
  • Atak XXE (172)
  • XML do kwadratu (178)
  • Podsumowanie (180)

RozdziaÅ‚ 9. Nowe wektory ataków (181)

  • Atak SSRF (181)
  • Atak IDOR (188)
  • Przebijanie DOM (194)
  • Atak RPO (196)
  • Podmiana interfejsu użytkownika (201)
  • Wstrzykiwanie obiektów PHP (204)
  • Podsumowanie (209)

Rozdział 10. Bezpieczeństwo Oauth 2.0 (211)

  • Wprowadzenie do modelu OAuth 2.0 (212)
  • Otrzymywanie upoważnieÅ„ (215)
  • Użycie OAuth dla zabawy i zysku (219)
  • Podsumowanie (223)

Rozdział 11. Metodologia testowania API (225)

  • Zrozumieć API typu REST (225)
  • Konfiguracja Å›rodowiska testowego (230)
  • Nauka API (232)
  • Podstawowa metodologia testowania API dla programistów (237)

Skorowidz (243)

Dodaj do koszyka Testy penetracyjne nowoczesnych serwisów. Kompendium inżynierów bezpieczeństwa

Code, Publish & WebDesing by CATALIST.com.pl



(c) 2005-2024 CATALIST agencja interaktywna, znaki firmowe należą do wydawnictwa Helion S.A.