Ловушка для багов. Полевое руководство по веб-хакингу [Питер Яворски] (pdf) читать постранично
- Ловушка для багов. Полевое руководство по веб-хакингу (и.с. Библиотека программиста) 6.99 Мб, 272с. скачать: (pdf) - (pdf+fbd) читать: (полностью) - (постранично) - Питер Яворски
Книга в формате pdf! Изображения и текст могут не отображаться!
[Настройки текста] [Cбросить фильтры]
- 1
- 2
- 3
- . . .
- последняя (53) »
Питер Яворски
ЛОВУШКА
ДЛЯ БАГОВ
Полевое руководство
по веб-хакингу
Предисловие Майкла Принса и Йоберта Абма
ББК 32.973.23-018-07
УДК 004.56.53
Я22
Я22
Яворски Питер
Ловушка для багов. Полевое руководство по веб-хакингу. — СПб.: Питер, 2020. —
272 с.: ил. — (Серия «Библиотека программиста»).
ISBN 978-5-4461-1708-6
«Чтобы чему-то научиться, надо применять знания на практике. Именно так мы освоили ремесло
взлома» — Майкл Принс и Йоберт Абма, соучредители HackerOne. «Ловушка для багов» познакомит
вас с белым хакингом — поиском уязвимостей в системе безопасности. Неважно, являетесь ли вы
новичком в области кибербезопасности, который хочет сделать интернет безопаснее, или опытным
разработчиком, который хочет писать безопасный код, Питер Яворски покажет вам, как это делается.
В книге рассматриваются распространенные типы ошибок и реальные хакерские отчеты о таких компаниях, как Twitter, Facebook, Google, Uber и Starbucks. Из этих отчетов вы поймете принципы работы
уязвимостей и сможете сделать безопасней собственные приложения. Вы узнаете:
• как работает интернет, и изучите основные концепции веб-хакинга;
• как злоумышленники взламывают веб-сайты;
• как подделка запросов заставляет пользователей отправлять информацию на другие веб-сайты;
• как получить доступ к данным другого пользователя;
• с чего начать охоту за уязвимостями;
• как заставить веб-сайты раскрывать информацию с помощью фейковых запросов.
16+ (В соответствии с Федеральным законом от 29 декабря 2010 г. № 436-ФЗ.)
ББК 32.973.23-018-07
УДК 004.56.53
Права на издание получены по соглашению с No Starch Press. Все права защищены. Никакая часть данной книги
не может быть воспроизведена в какой бы то ни было форме без письменного разрешения владельцев авторских
прав. Информация, содержащаяся в данной книге, получена из источников, рассматриваемых издательством как
надежные. Тем не менее, имея в виду возможные человеческие или технические ошибки, издательство не может
гарантировать абсолютную точность и полноту приводимых сведений и не несет ответственности за возможные
ошибки, связанные с использованием книги. Издательство не несет ответственности за доступность материалов,
ссылки на которые вы можете найти в этой книге. На момент подготовки книги к изданию все ссылки на интернетресурсы были действующими.
ISBN 978-1593278618 англ.
© 2019 by Peter Yaworski. Real-World Bug Hunting: A Field Guide to Web Hacking
ISBN 978-1- 59327-861-8, published by No Starch Press.
ISBN 978-5-4461-1708-6
© Перевод на русский язык ООО Издательство «Питер», 2020
© Издание на русском языке, оформление ООО Издательство «Питер», 2020
© Серия «Библиотека программиста», 2020
Краткое содержание
Об авторе................................................................................................................ 15
О научном редакторе............................................................................................ 16
Предисловие .......................................................................................................... 17
Благодарности....................................................................................................... 19
Введение................................................................................................................. 20
Глава 1. Основы охоты за уязвимостями ............................................................... 26
Глава 2. Open Redirect............................................................................................ 36
Глава 3. Засорение HTTP-параметров..................................................................... 43
Глава 4. Межсайтовая подделка запросов.............................................................. 52
Глава 5. Внедрение HTML-элемента и подмена содержимого.................................. 64
Глава 6. Внедрение символов перевода строки...................................................... 74
Глава 7. Межсайтовый скриптинг........................................................................... 80
Глава 8. Внедрение шаблонов................................................................................ 99
Глава 9. Внедрение SQL....................................................................................... 111
Глава 10. Подделка серверных запросов................................................................ 126
Глава 11. Внешние XML-сущности.......................................................................... 139
Глава 12. Удаленное выполнение кода.................................................................. 151
Глава 13. Уязвимости памяти................................................................................. 162
Глава 14. Захват поддомена................................................................................... 171
Глава 15. Состояние гонки..................................................................................... 181
Глава 16. Небезопасные прямые ссылки на объекты.............................................. 190
Глава 17. Уязвимости в OAuth................................................................................ 200
Глава 18. Уязвимости в логике и конфигурации приложений................................. 211
Глава 19. Самостоятельный поиск уязвимостей .................................................... 228
Глава 20. Отчеты об уязвимостях .......................................................................... 242
Приложение А. Инструменты................................................................................ 249
Приложение Б. Дополнительный материал .......................................................... 259
Оглавление
Об авторе................................................................................................................ 15
О научном редакторе............................................................................................ 16
Предисловие...........................................................................................................
ЛОВУШКА
ДЛЯ БАГОВ
Полевое руководство
по веб-хакингу
Предисловие Майкла Принса и Йоберта Абма
ББК 32.973.23-018-07
УДК 004.56.53
Я22
Я22
Яворски Питер
Ловушка для багов. Полевое руководство по веб-хакингу. — СПб.: Питер, 2020. —
272 с.: ил. — (Серия «Библиотека программиста»).
ISBN 978-5-4461-1708-6
«Чтобы чему-то научиться, надо применять знания на практике. Именно так мы освоили ремесло
взлома» — Майкл Принс и Йоберт Абма, соучредители HackerOne. «Ловушка для багов» познакомит
вас с белым хакингом — поиском уязвимостей в системе безопасности. Неважно, являетесь ли вы
новичком в области кибербезопасности, который хочет сделать интернет безопаснее, или опытным
разработчиком, который хочет писать безопасный код, Питер Яворски покажет вам, как это делается.
В книге рассматриваются распространенные типы ошибок и реальные хакерские отчеты о таких компаниях, как Twitter, Facebook, Google, Uber и Starbucks. Из этих отчетов вы поймете принципы работы
уязвимостей и сможете сделать безопасней собственные приложения. Вы узнаете:
• как работает интернет, и изучите основные концепции веб-хакинга;
• как злоумышленники взламывают веб-сайты;
• как подделка запросов заставляет пользователей отправлять информацию на другие веб-сайты;
• как получить доступ к данным другого пользователя;
• с чего начать охоту за уязвимостями;
• как заставить веб-сайты раскрывать информацию с помощью фейковых запросов.
16+ (В соответствии с Федеральным законом от 29 декабря 2010 г. № 436-ФЗ.)
ББК 32.973.23-018-07
УДК 004.56.53
Права на издание получены по соглашению с No Starch Press. Все права защищены. Никакая часть данной книги
не может быть воспроизведена в какой бы то ни было форме без письменного разрешения владельцев авторских
прав. Информация, содержащаяся в данной книге, получена из источников, рассматриваемых издательством как
надежные. Тем не менее, имея в виду возможные человеческие или технические ошибки, издательство не может
гарантировать абсолютную точность и полноту приводимых сведений и не несет ответственности за возможные
ошибки, связанные с использованием книги. Издательство не несет ответственности за доступность материалов,
ссылки на которые вы можете найти в этой книге. На момент подготовки книги к изданию все ссылки на интернетресурсы были действующими.
ISBN 978-1593278618 англ.
© 2019 by Peter Yaworski. Real-World Bug Hunting: A Field Guide to Web Hacking
ISBN 978-1- 59327-861-8, published by No Starch Press.
ISBN 978-5-4461-1708-6
© Перевод на русский язык ООО Издательство «Питер», 2020
© Издание на русском языке, оформление ООО Издательство «Питер», 2020
© Серия «Библиотека программиста», 2020
Краткое содержание
Об авторе................................................................................................................ 15
О научном редакторе............................................................................................ 16
Предисловие .......................................................................................................... 17
Благодарности....................................................................................................... 19
Введение................................................................................................................. 20
Глава 1. Основы охоты за уязвимостями ............................................................... 26
Глава 2. Open Redirect............................................................................................ 36
Глава 3. Засорение HTTP-параметров..................................................................... 43
Глава 4. Межсайтовая подделка запросов.............................................................. 52
Глава 5. Внедрение HTML-элемента и подмена содержимого.................................. 64
Глава 6. Внедрение символов перевода строки...................................................... 74
Глава 7. Межсайтовый скриптинг........................................................................... 80
Глава 8. Внедрение шаблонов................................................................................ 99
Глава 9. Внедрение SQL....................................................................................... 111
Глава 10. Подделка серверных запросов................................................................ 126
Глава 11. Внешние XML-сущности.......................................................................... 139
Глава 12. Удаленное выполнение кода.................................................................. 151
Глава 13. Уязвимости памяти................................................................................. 162
Глава 14. Захват поддомена................................................................................... 171
Глава 15. Состояние гонки..................................................................................... 181
Глава 16. Небезопасные прямые ссылки на объекты.............................................. 190
Глава 17. Уязвимости в OAuth................................................................................ 200
Глава 18. Уязвимости в логике и конфигурации приложений................................. 211
Глава 19. Самостоятельный поиск уязвимостей .................................................... 228
Глава 20. Отчеты об уязвимостях .......................................................................... 242
Приложение А. Инструменты................................................................................ 249
Приложение Б. Дополнительный материал .......................................................... 259
Оглавление
Об авторе................................................................................................................ 15
О научном редакторе............................................................................................ 16
Предисловие...........................................................................................................
- 1
- 2
- 3
- . . .
- последняя (53) »
Последние комментарии
2 дней 2 часов назад
2 дней 2 часов назад
2 дней 2 часов назад
2 дней 2 часов назад
2 дней 5 часов назад
2 дней 5 часов назад