Leanpub Header

Skip to main content
Go to Leanpub.comLeanpub

Основы веб-хакинга

Более 30 примеров уязвимостей

Peter Yaworski and Evgenii Burmakin

По состоянию на 30 мая 2016 года, Twitter выплатил более $300,000 белым хакерам за отчеты об уязвимостях на доменах сайта. Это не было вымогательством. Сайты, подобные Twitter, Shopify, Dropbox, Airbnb, Google, Facebook и многие другие, просят белых хакеров сообщать о проблемах с безопасностью и выплачивают им за это вознаграждение. В этой книге на примере публично описанных атак будет показано, как они были обнаружены, выполнены, а так же рассказано, как должен выглядеть хороший отчет об уязвимости, какие инструменты вы можете использовать и где найти еще...

This book is a translation into Russian of Web Hacking 101 which was originally written in English

Minimum price

$9.99

$19.99

You pay

$19.99

Authors earn

$15.99
$

...Or Buy With Credits!

You can get credits monthly with a Reader Membership
PDF
EPUB
WEB
107
Readers
357
Pages
55,379Words
About

About

About the Book

"Основы веб-хакинга" рассказывает об этичном использовании софта для поиска уязвимостей в безопасности и о том, что научиться взламывать не всегда легко. С небольшими исключениями, существующие книги являются чрезмерно технологическими, посвящая лишь одну главу уязвимостям в сайтах или не включают примеров из реального мира. Эта книга отличается от них.

Используя публично описанные уязвимости, "Основы веб-хакинга" объясняет распространенные веб-уязвимости и покажет вам, как начать искать уязвимости и получать за это деньги. Используя более 30 примеров, эта книга описывает такие темы, как:

  • HTML инъекции
  • Межсайтовый скриптинг (XSS)
  • Межсайтовая подмена запроса (CSRF)
  • Открытые перенаправления
  • Удаленное исполнение кода (RCE)
  • Логика приложений
  • и многое другое...

Каждый пример содежит классификацию атаки, ссылку на отчет, сумму выплаченного вознаграждения, понятное описание и ключевые выводы. После прочтения этой книги ваши глаза откроются, и вы увидите огромное колиство существующих уязвимостей, и вы вряд ли когда-либо сможете смотреть на сайт или API прежними глазами

Share this book

Categories

Computers and ProgrammingWeb DevelopmentTesting

Feedback

Email the Authors
This book is a translation into Russian of Web Hacking 101 which was originally written in English

Author

About the Authors

Peter Yaworski

Peter Yaworski is a self-taught developer who started off "developing" websites with Drupal. As he slowly started picking things up, he published YouTube video tutorials to give back to others.

He has since moved on to Rails and Android before developing a keen interest in software security. Right now, he is focused on developing Dailylearns.com, where he is the Lead Developer, and continuing to learn about software development best practices.

You can find his site at www.TorontoWebsiteDeveloper.com or message him on Twitter.

Leanpub Podcast

Episode 40

An Interview with Peter Yaworski

Evgenii Burmakin

I am Ruby on Rails developer with strong passion for web applications security. I just love to build and break things.

Contents

Table of Contents

Вступительное слово

Введение

Необходимые знания

Уязвимости Открытого Редиректа (Open Redirect)

  1. Описание
  2. Примеры
  3. Итоги

HTTP Parameter Pollution

  1. Описание
  2. Примеры
  3. Итоги

Межсайтовая подделка запросов

  1. Описание
  2. Примеры
  3. Итоги

HTML инъекции

  1. Описание
  2. Примеры
  3. Итоги

CRLF инъекции

  1. Описание
  2. Итоги

Межсайтовый скриптинг

  1. Описание
  2. Примеры
  3. Итоги

Инъекции шаблона

  1. Описание
  2. Примеры
  3. Итоги

SQL-инъекции

  1. Описание
  2. Примеры
  3. Итоги

Подделка запроса на стороне сервера

  1. Описание
  2. Примеры
  3. Выводы
  4. Выводы
  5. Итоги

Уязвимость внешних объектов XML

  1. Описание
  2. Примеры
  3. Итоги

Удаленное выполнение кода

  1. Описание
  2. Примеры
  3. Итоги

Память

  1. Описание
  2. Примеры
  3. Итоги

Захват субдомена

  1. Описание
  2. Примеры
  3. Итоги

Состояние гонки

  1. Описание
  2. Примеры
  3. Итоги

Незащищенная прямая ссылка на объект

  1. Описание
  2. Примеры
  3. Итоги

OAuth

  1. Описание
  2. Примеры
  3. Итоги

Уязвимости логики приложений

  1. Описание
  2. Примеры
  3. Итоги

С чего начать

  1. Сбор информации
  2. Тестирование приложения
  3. Копаем глубже
  4. Итоги

Отчёты об уязвимостях

  1. Читайте описание программы.
  2. Пишите в подробностях. А затем ещё подробнее.
  3. Подтвердите существование уязвимости
  4. Проявляйте уважение
  5. Вознаграждения
  6. Не кричи “Привет”, пока не перепрыгнешь пруд
  7. Пару слов на прощание

Инструменты

  1. Burp Suite
  2. ZAP Proxy
  3. KnockPy
  4. HostileSubBruteforcer
  5. Sublist3r
  6. crt.sh
  7. IPV4info.com
  8. SecLists
  9. XSSHunter
  10. sqlmap
  11. Nmap
  12. Eyewitness
  13. Gowitness
  14. Gobuster
  15. Meg
  16. Shodan
  17. Censys
  18. What CMS
  19. BuiltWith
  20. Nikto
  21. Recon-ng
  22. GitRob
  23. CyberChef
  24. OnlineHashCrack.com
  25. idb
  26. Wireshark
  27. Bucket Finder
  28. Race the Web
  29. Google Dorks
  30. JD GUI
  31. Mobile Security Framework
  32. Ysoserial
  33. Плагины для Firefox

Ресурсы

  1. Онлайн-тренировка
  2. Платформы Bug Bounty
  3. Дальнейшее чтение
  4. Рекоммендованные блоги
  5. Шпаргалки

Словарь

Дополнение A — Выводы

  1. Открытые перенаправления
  2. Загрязнение HTTP-параметров
  3. Подделка межсайтовых запросов (CSRF)
  4. HTML-инъекциb
  5. CRLF-инъекции (инъекции переноса строки)
  6. Межсайтовый скриптинг (XSS)
  7. Инъекции в шаблоны на стороне сервера (Server-Side Template Injection)
  8. SQL инъекции
  9. Подделка запроса на стороне сервера (SSRF)
  10. Уязвимость Внешней Сущности XML
  11. Удаленное выполнение кода (RCE)
  12. Память
  13. Захват субдомена
  14. Состояние гонки
  15. Небезопасные прямые обращения к объектам
  16. OAuth
  17. Уязвимости логики приложения

Дополнение B — Лог изменений Основ веб-хакинга

Get the free sample chapters

Click the buttons to get the free sample in PDF or EPUB, or read the sample online here

Download Sample PDFDownload Sample EPUB

The Leanpub 60 Day 100% Happiness Guarantee

Within 60 days of purchase you can get a 100% refund on any Leanpub purchase, in two clicks.

Now, this is technically risky for us, since you'll have the book or course files either way. But we're so confident in our products and services, and in our authors and readers, that we're happy to offer a full money back guarantee for everything we sell.

You can only find out how good something is by trying it, and because of our 100% money back guarantee there's literally no risk to do so!

So, there's no reason not to click the Add to Cart button, is there?

See full terms...

Earn $8 on a $10 Purchase, and $16 on a $20 Purchase

We pay 80% royalties on purchases of $7.99 or more, and 80% royalties minus a 50 cent flat fee on purchases between $0.99 and $7.98. You earn $8 on a $10 sale, and $16 on a $20 sale. So, if we sell 5000 non-refunded copies of your book for $20, you'll earn $80,000.

(Yes, some authors have already earned much more than that on Leanpub.)

In fact, authors have earned over $14 million writing, publishing and selling on Leanpub.

Learn more about writing on Leanpub

Free Updates. DRM Free.

If you buy a Leanpub book, you get free updates for as long as the author updates the book! Many authors use Leanpub to publish their books in-progress, while they are writing them. All readers get free updates, regardless of when they bought the book or how much they paid (including free).

Most Leanpub books are available in PDF (for computers) and EPUB (for phones, tablets and Kindle). The formats that a book includes are shown at the top right corner of this page.

Finally, Leanpub books don't have any DRM copy-protection nonsense, so you can easily read them on any supported device.

Learn more about Leanpub's ebook formats and where to read them

Write and Publish on Leanpub

You can use Leanpub to easily write, publish and sell in-progress and completed ebooks and online courses!

Leanpub is a powerful platform for serious authors, combining a simple, elegant writing and publishing workflow with a store focused on selling in-progress ebooks.

Leanpub is a magical typewriter for authors: just write in plain text, and to publish your ebook, just click a button. (Or, if you are producing your ebook your own way, you can even upload your own PDF and/or EPUB files and then publish with one click!) It really is that easy.

Learn more about writing on Leanpub