Testy_penetracyjne_nowoczesnych_serwisow_Kompendium_inzynierow_bezpieczenstwa_tespen.pdf

(924 KB) Pobierz
Tytuł oryginału: Mastering Modern Web Penetration Testing
Tłumaczenie: Rafał Jońca
ISBN: 978-83-283-3459-5
Copyright © Packt Publishing 2016
First published in the English language under the title 'Mastering Modern Web Penetration Testing -
(9781785284588)'
Polish edition copyright © 2017 by Helion SA
All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means,
electronic or mechanical, including photocopying, recording or by any information storage retrieval system,
without permission from the Publisher.
Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej
publikacji w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metodą kserograficzną,
fotograficzną, a także kopiowanie książki na nośniku filmowym, magnetycznym lub innym powoduje
naruszenie praw autorskich niniejszej publikacji.
Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi bądź towarowymi ich
właścicieli.
Autor oraz Wydawnictwo HELION dołożyli wszelkich starań, by zawarte w tej książce informacje były
kompletne i rzetelne. Nie biorą jednak żadnej odpowiedzialności ani za ich wykorzystanie, ani za związane
z tym ewentualne naruszenie praw patentowych lub autorskich. Autor oraz Wydawnictwo HELION nie
ponoszą również żadnej odpowiedzialności za ewentualne szkody wynikłe z wykorzystania informacji
zawartych w książce.
Wydawnictwo HELION
ul. Kościuszki 1c, 44-100 GLIWICE
tel. 32 231 22 19, 32 230 98 63
e-mail:
helion@helion.pl
WWW:
http://helion.pl
(księgarnia internetowa, katalog książek)
Drogi Czytelniku!
Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres
http://helion.pl/user/opinie/tespen
Możesz tam wpisać swoje uwagi, spostrzeżenia, recenzję.
Printed in Poland.
Kup książkę
Poleć książkę
Oceń książkę
Księgarnia internetowa
Lubię to! » Nasza społeczność
Spis tre ci
O autorze
O redaktorze merytorycznym
Wst p
Rozdzia 1. Typowe protoko y bezpiecze stwa
SOP
CORS
Kodowanie URL, czyli kodowanie z procentem
Podwójne kodowanie
Kodowanie Base64
Podsumowanie
7
9
11
17
17
21
24
26
28
31
Rozdzia 2. Zbieranie informacji
Techniki zbierania informacji
Wyliczanie domen, plików i zasobów
Fierce
theHarvester
SubBrute
CeWL
DirBuster
WhatWeb
Shodan
DNSdumpster
Wyszukiwanie domen po odwróconym adresie IP — YouGetSignal
Pentest-Tools
Zaawansowane wyszukiwanie Google
Podsumowanie
33
33
34
35
38
39
41
42
44
48
50
50
52
52
56
Kup książkę
Poleć książkę
Spis tre ci
Rozdzia 3. Ataki XSS
Odbity XSS
Zapisany XSS
Ataki XSS wykorzystuj ce Flasha — funkcja ExternalInterface.call()
Znaczniki HttpOnly i bezpieczne pliki cookie
Ataki XSS bazuj ce na obiektach DOM
Narz dzie BeEF, czyli wykorzystywanie podatno ci XSS
Podsumowanie
57
58
62
70
71
72
75
81
Rozdzia 4. Atak CSRF
Wprowadzenie do CSRF
Wykonywanie ataku CSRF dla da POST
W jaki sposób programi ci zapobiegaj CSRF?
Podatno CSRF PayPala dotycz ca zmiany numerów telefonów
Wykorzystanie podatno ci na atak CSRF w daniach typu JSON
Wykorzystanie ataku XSS do wykradania tokenów CSRF
Wykorzystanie s abo ci tokena CSRF
Flash na ratunek
Podsumowanie
83
84
85
86
87
88
90
91
92
96
Rozdzia 5. Wykorzystanie wstrzykiwania SQL
Instalacja SQLMap w systemie Kali Linux
Wprowadzenie do SQLMap
Pobieranie danych — scenariusz z wykorzystywaniem b du
SQLMap i modyfikacja adresów URL
Przyspieszamy ca y proces
Pobieranie danych z bazy w scenariuszach wykorzystuj cych czas
lub dzia aj cych na lepo
Odczyt i zapis plików
Obs uga wstrzykiwania w daniu POST
Wstrzykiwanie SQL do stron wymagaj cych logowania
Pow oka SQL
Pow oka polece
Unikanie filtrów — skrypty modyfikuj ce
Konfiguracja serwera po rednicz cego
Podsumowanie
97
98
99
102
106
107
109
111
115
118
119
119
121
124
124
Rozdzia 6. Podatno ci na atak zwi zane z przesy aniem plików
Podatno na atak zwi zana z przesy aniem plików — wprowadzenie
Zdalne wykonywanie kodu
Powrót do XSS
Ataki typu DoS
Obej cie zabezpiecze zwi zanych z przesy aniem plików
Podsumowanie
127
128
129
134
136
138
146
4
Kup książkę
Poleć książkę
Spis tre ci
Rozdzia 7. Metasploit i sie WWW
Modu y Metasploit
U ycie Msfconsole
Wykorzystanie modu ów pomocniczych zwi zanych z aplikacjami internetowymi
Wykorzystanie WMAP
Generowanie w Metasploit adunków dla aplikacji internetowych
Podsumowanie
149
149
151
153
157
161
166
Rozdzia 8. Ataki XML
Podstawy formatu XML
Atak XXE
XML do kwadratu
Podsumowanie
167
168
172
178
180
Rozdzia 9. Nowe wektory ataków
Atak SSRF
Atak IDOR
Przebijanie DOM
Atak RPO
Podmiana interfejsu u ytkownika
Wstrzykiwanie obiektów PHP
Podsumowanie
181
181
188
194
196
201
204
209
Rozdzia 10. Bezpiecze stwo Oauth 2.0
Wprowadzenie do modelu OAuth 2.0
Otrzymywanie upowa nie
U ycie OAuth dla zabawy i zysku
Podsumowanie
211
212
215
219
223
Rozdzia 11. Metodologia testowania API
Zrozumie API typu REST
Konfiguracja rodowiska testowego
Nauka API
Podstawowa metodologia testowania API dla programistów
225
225
230
232
237
Skorowidz
243
5
Kup książkę
Poleć książkę
Zgłoś jeśli naruszono regulamin