 |
 |
 |
 |
|
Tytuł:Testowanie bezpieczeństwa aplikacji internetowych. Receptury
Autorzy: Paco Hope, Ben Walther,
Wydawnictwo:Helion
ISBN:83-246-2208-5
Ilość stron: 312
Okladka: Miękka
Wydanie: 2010
Cena netto:
49,00
zł.
VAT: 0 %
Cena brutto:
49,00
zł.
| |
Poznaj i wykorzystaj mechanizmy testowania zabezpieczeń, a nikt nie prześlizgnie się przez Twoją witrynę!
* Jak zainstalować i skonfigurować narzędzia do testowania zabezpieczeń?
* Jak szybko i sprawnie znaleźć problemy w aplikacjach?
* Jak wykorzystywać testy powtarzalne?
Witryny internetowe oraz ich aplikacje stanowią swoistą wirtualną furtkę do wszystkich korporacji i instytucji. Jak zatem zadbać, aby nikt niepożądany nie przedostał się do środka? Co sprawia, że witryna jest naprawdę bezpieczna? I w jaki sposób testować aplikację, aby nie był to proces żmudny i czasochłonny, a raczej sprawny i skuteczny? Oto rozwiązanie -- niniejsza książka zawiera proste receptury, dzięki którym z łatwością znajdziesz luki w aplikacjach, zanim zrobią to różni hakerzy.
Książka "Testowanie bezpieczeństwa aplikacji internetowych. Receptury" to napisany zrozumiałym językiem podręcznik, dzięki któremu szybko poznasz mechanizmy testowania zabezpieczeń. Praktyczne przykłady zawarte w tym przewodniku sprawią, że szybko nauczysz się włączać systemy zabezpieczeń do standardowych procedur kontroli aplikacji. Bez problemu stworzysz testy dotyczące funkcji AJAX, a także przeprowadzisz rozbudowane, wieloetapowe testy podatności na klasyczne problemy: skrypty krzyżowe oraz wstrzykiwanie kodu.
* Bezpieczeństwo oprogramowania
* Instalacja darmowych narzędzi i rozszerzeń
* Kodowanie danych w Internecie
* Manipulowanie danymi wejściowymi
* Fałszowanie informacji przesyłanych w nagłówkach przez przeglądarki
* Przesyłanie na serwer plików o dużej objętości
* Obchodzenie ograniczeń interfejsu użytkownika
* Autoryzacja masowego skanowania
* Ataki przeciwko aplikacjom AJAX
* Manipulowanie sesjami
* Testy wielostronne
Niech bezpieczeństwo Twoich aplikacji nie spędza Ci snu z powiek!
|
| spis treści |
ZAKUP |
Słowo wstępne (11)
Przedmowa (13)
1. Wprowadzenie (23)
* 1.1. Co to jest testowanie zabezpieczeń? (23)
* 1.2. Czym są aplikacje internetowe? (27)
* 1.3. Podstawowe pojęcia dotyczące aplikacji internetowych (31)
* 1.4. Testowanie zabezpieczeń aplikacji internetowej (36)
* 1.5. Zasadnicze pytanie brzmi: "Jak" (37)
2. Instalacja darmowych narzędzi (41)
* 2.1. Instalacja przeglądarki Firefox (42)
* 2.2. Instalacja rozszerzeń przeglądarki Firefox (42)
* 2.3. Instalacja rozszerzenia Firebug (43)
* 2.4. Instalacja programu WebScarab grupy OWASP (44)
* 2.5. Instalowanie Perla i pakietów w systemie Windows (45)
* 2.6. Instalacja Perla i korzystanie z repozytorium CPAN w systemie Linux (46)
* 2.7. Instalacja narzędzia CAL9000 (47)
* 2.8. Instalacja narzędzia ViewState Decoder (47)
* 2.9. Instalacja cURL (48)
* 2.10. Instalacja narzędzia Pornzilla (49)
* 2.11. Instalacja środowiska Cygwin (49)
* 2.12. Instalacja narzędzia Nikto 2 (51)
* 2.13. Instalacja zestawu narzędzi Burp Suite (52)
* 2.14. Instalacja serwera HTTP Apache (53)
3. Prosta obserwacja (55)
* 3.1. Przeglądanie źródła HTML strony (56)
* 3.2. Zaawansowane przeglądanie kodu źródłowego (58)
* 3.3. Obserwacja nagłówków żądań "na żywo" za pomocą dodatku Firebug (60)
* 3.4. Obserwacja danych POST "na żywo" za pomocą narzędzia WebScarab (64)
* 3.5. Oglądanie ukrytych pól formularza (68)
* 3.6. Obserwacja nagłówków odpowiedzi "na żywo" za pomocą dodatku TamperData (69)
* 3.7. Podświetlanie kodu JavaScript i komentarzy (71)
* 3.8. Wykrywanie zdarzeń JavaScript (73)
* 3.9. Modyfikowanie specyficznych atrybutów elementów (74)
* 3.10. Dynamiczne śledzenie atrybutów elementów (76)
* 3.11. Wnioski (78)
4. Kodowanie danych w internecie (79)
* 4.1. Rozpoznawanie binarnych reprezentacji danych (80)
* 4.2. Korzystanie z danych Base64 (82)
* 4.3. Konwersja liczb zakodowanych w Base36 na stronie WWW (84)
* 4.4. Korzystanie z danych Base36 w Perlu (85)
* 4.5. Wykorzystanie danych kodowanych w URL (85)
* 4.6. Wykorzystywanie danych w formacie encji HTML (88)
* 4.7. Wyliczanie skrótów (89)
* 4.8. Rozpoznawanie formatów czasowych (91)
* 4.9. Programowe kodowanie wartości oznaczających czas (93)
* 4.10. Dekodowanie wartości ViewState języka ASP.NET (94)
* 4.11. Dekodowanie danych zakodowanych wielokrotnie (96)
5. Manipulowanie danymi wejściowymi (99)
* 5.1. Przechwytywanie i modyfikowanie żądań POST (100)
* 5.2. Obejścia ograniczeń pól wejściowych (103)
* 5.3. Modyfikowanie adresu URL (104)
* 5.4. Automatyzacja modyfikowania adresów URL (107)
* 5.5. Testowanie obsługi długich adresów URL (108)
* 5.6. Edycja plików cookie (110)
* 5.7. Fałszowanie informacji przesyłanych przez przeglądarki w nagłówkach (112)
* 5.8. Przesyłanie na serwer plików o złośliwych nazwach (115)
* 5.9. Przesyłanie na serwer plików o dużej objętości (117)
* 5.10. Przesyłanie plików XML o złośliwej zawartości (118)
* 5.11. Przesyłanie plików XML o złośliwej strukturze (120)
* 5.12. Przesyłanie złośliwych plików ZIP (122)
* 5.13. Przesyłanie na serwer przykładowych plików wirusów (123)
* 5.14. Obchodzenie ograniczeń interfejsu użytkownika (124)
6. Automatyzacja masowego skanowania (127)
* 6.1. Przeglądanie serwisu WWW za pomocą programu WebScarab (128)
* 6.2. Przekształcanie wyników działania programów typu pająk do postaci listy inwentaryzacyjnej (130)
* 6.3. Redukowanie listy adresów URL do testowania (133)
* 6.4. Wykorzystanie arkusza kalkulacyjnego do redukcji listy (134)
* 6.5. Tworzenie kopii lustrzanej serwisu WWW za pomocą programu LWP (134)
* 6.6. Tworzenie kopii lustrzanej serwisu WWW za pomocą polecenia wget (136)
* 6.7. Tworzenie kopii lustrzanej specyficznych elementów za pomocą polecenia wget (138)
* 6.8. Skanowanie serwisu WWW za pomocą programu Nikto (138)
* 6.9. Interpretacja wyników programu Nikto (140)
* 6.10. Skanowanie serwisów HTTPS za pomocą programu Nikto (142)
* 6.11. Używanie programu Nikto z uwierzytelnianiem (143)
* 6.12. Uruchamianie Nikto w określonym punkcie startowym (144)
* 6.13. Wykorzystywanie specyficznego pliku cookie sesji z programem Nikto (145)
* 6.14. Testowanie usług sieciowych za pomocą programu WSFuzzer (146)
* 6.15. Interpretacja wyników programu WSFuzzer (148)
7. Automatyzacja wybranych zadań z wykorzystaniem cURL (151)
* 7.1. Pobieranie strony za pomocą cURL (152)
* 7.2. Pobieranie wielu odmian strony spod adresu URL (153)
* 7.3. Automatyczne śledzenie przekierowań (154)
* 7.4. Wykorzystanie cURL do testowania podatności na ataki za pomocą skryptów krzyżowych (155)
* 7.5. Wykorzystanie cURL do testowania podatności na ataki typu "przechodzenie przez katalog" (158)
* 7.6. Naśladowanie specyficznego typu przeglądarki lub urządzenia (161)
* 7.7. Interaktywne naśladowanie innego urządzenia (162)
* 7.8. Imitowanie wyszukiwarki za pomocą cURL (165)
* 7.9. Pozorowanie przepływu poprzez fałszowanie nagłówków referer (166)
* 7.10. Pobieranie samych nagłówków HTTP (167)
* 7.11. Symulacja żądań POST za pomocą cURL (168)
* 7.12. Utrzymywanie stanu sesji (169)
* 7.13. Modyfikowanie plików cookie (171)
* 7.14. Przesyłanie pliku na serwer za pomocą cURL (171)
* 7.15. Tworzenie wieloetapowego przypadku testowego (172)
* 7.16. Wnioski (177)
8. Automatyzacja zadań z wykorzystaniem biblioteki LibWWWPerl (179)
* 8.1. Napisanie prostego skryptu Perla do pobierania strony (180)
* 8.2. Programowe modyfikowanie parametrów (181)
* 8.3. Symulacja wprowadzania danych za pośrednictwem formularzy z wykorzystaniem żądań POST (183)
* 8.4. Przechwytywanie i zapisywanie plików cookie (184)
* 8.5. Sprawdzanie ważności sesji (185)
* 8.6. Testowanie podatności na wymuszenia sesji (188)
* 8.7. Wysyłanie złośliwych wartości w plikach cookie (190)
* 8.8. Przesyłanie na serwer złośliwej zawartości plików (192)
* 8.9. Przesyłanie na serwer plików o złośliwych nazwach (193)
* 8.10. Przesyłanie wirusów do aplikacji (195)
* 8.11. Parsowanie odpowiedzi za pomocą skryptu Perla w celu sprawdzenia odczytanych wartości (197)
* 8.12. Programowa edycja strony (198)
* 8.13. Wykorzystanie wątków do poprawy wydajności (200)
9. Wyszukiwanie wad projektu (203)
* 9.1. Pomijanie obowiązkowych elementów nawigacji (204)
* 9.2. Próby wykonywania uprzywilejowanych operacji (206)
* 9.3. Nadużywanie mechanizmu odzyskiwania haseł (207)
* 9.4. Nadużywanie łatwych do odgadnięcia identyfikatorów (209)
* 9.5. Odgadywanie danych do uwierzytelniania (211)
* 9.6. Wyszukiwanie liczb losowych w aplikacji (213)
* 9.7. Testowanie liczb losowych (215)
* 9.8. Nadużywanie powtarzalności (217)
* 9.9. Nadużywanie operacji powodujących duże obciążenia (219)
* 9.10. Nadużywanie funkcji ograniczających dostęp do aplikacji (221)
* 9.11. Nadużywanie sytuacji wyścigu (222)
10. Ataki przeciwko aplikacjom AJAX (225)
* 10.1. Obserwacja żądań AJAX "na żywo" (227)
* 10.2. Identyfikacja kodu JavaScript w aplikacjach (228)
* 10.3. Śledzenie operacji AJAX do poziomu kodu źródłowego (229)
* 10.4. Przechwytywanie i modyfikowanie żądań AJAX (230)
* 10.5. Przechwytywanie i modyfikowanie odpowiedzi serwera (232)
* 10.6. Wstrzykiwanie danych do aplikacji AJAX (234)
* 10.7. Wstrzykiwanie danych w formacie XML do aplikacji AJAX (236)
* 10.8. Wstrzykiwanie danych w formacie JSON do aplikacji AJAX (237)
* 10.9. Modyfikowanie stanu klienta (239)
* 10.10. Sprawdzenie możliwości dostępu z innych domen (240)
* 10.11. Odczytywanie prywatnych danych dzięki przechwytywaniu danych JSON (241)
11. Manipulowanie sesjami (245)
* 11.1. Wyszukiwanie identyfikatorów sesji w plikach cookie (246)
* 11.2. Wyszukiwanie identyfikatorów sesji w żądaniach (248)
* 11.3. Wyszukiwanie nagłówków autoryzacji (249)
* 11.4. Analiza terminu ważności sesji (252)
* 11.5. Analiza identyfikatorów sesji za pomocą programu Burp (256)
* 11.6. Analiza losowości sesji za pomocą programu WebScarab (258)
* 11.7. Zmiany sesji w celu uniknięcia ograniczeń (262)
* 11.8. Podszywanie się pod innego użytkownika (264)
* 11.9. Preparowanie sesji (265)
* 11.10. Testowanie pod kątem podatności na ataki CSRF (266)
12. Testy wielostronne (269)
* 12.1. Wykradanie plików cookie za pomocą ataków XSS (269)
* 12.2. Tworzenie nakładek za pomocą ataków XSS (271)
* 12.3. Tworzenie żądań HTTP za pomocą ataków XSS (273)
* 12.4. Interaktywne wykonywanie ataków XSS bazujących na modelu DOM (274)
* 12.5. Pomijanie ograniczeń długości pola (XSS) (276)
* 12.6. Interaktywne przeprowadzanie ataków XST (277)
* 12.7. Modyfikowanie nagłówka Host (279)
* 12.8. Odgadywanie nazw użytkowników i haseł metodą siłową (281)
* 12.9. Interaktywne przeprowadzanie ataków wstrzykiwania kodu w instrukcji włączania skryptów PHP (283)
* 12.10. Tworzenie bomb dekompresji (285)
* 12.11. Interaktywne przeprowadzanie ataków wstrzykiwania poleceń systemu operacyjnego (286)
* 12.12. Systemowe przeprowadzanie ataków wstrzykiwania poleceń systemu operacyjnego (288)
* 12.13. Interaktywne przeprowadzanie ataków wstrzykiwania instrukcji XPath (291)
* 12.14. Interaktywne przeprowadzanie ataków wstrzykiwania SSI (293)
* 12.15. Systemowe przeprowadzanie ataków wstrzykiwania SSI (294)
* 12.16. Interaktywne przeprowadzanie ataków wstrzykiwania LDAP (296)
* 12.17. Interaktywne przeprowadzanie ataków wstrzykiwania zapisów w dziennikach (298)
Skorowidz (301)
|
|
Klienci którzy zakupili tę książke interesowali się również następującymi pozycjami:
MySQL. Ćwiczenia
Cena:
15,00
zł.
|
PHP. 101 praktycznych skryptów
Cena:
29,60
zł.
|
Firefox. Nie klikaj w niebieskie e!
Cena:
27,00
zł.
|
Adobe Premiere 6. Ćwiczenia praktyczne
Cena:
14,90
zł.
|
|
 |
|
|
 |
|
Stara cena: 59.00 zł.
Nowa cena: 53.10 zł |
|
 |
|
|
 |
|
"Dom Książki" S.A.
Księgarnia Techniczna
ul.Półwiejska 28, 61-888 Poznań
NIP: 778-10-27-806, REGON: 630302590, KRS: 0000147617 (Sąd Rejonowy w Poznaniu, XXI Wydział Gospodarczy Krajowego Rejestru Sądowego) Kapitał zakładowy: 500.000 zł
|
|
 |
ksiązek:3375
w promocji:15
polecanych:115
|
|
|
