مجله علمی تفریحی بیبیس

پست های اخیر

0

دانلود کتاب حمله و بهره برداری از برنامه های کاربردی وب مدرن

بازدید 927
  • عنوان کتاب: Attacking and Exploiting Modern Web Applications
  • نویسنده/انتشارات: Simone Onofri
  • حوزه: حمله سایبری
  • سال انتشار: 2023
  • تعداد صفحه: 338
  • زبان اصلی: انگلیسی
  • نوع فایل: pdf
  • حجم فایل: 10.5 مگابایت

چرا نیاز به کتاب دیگری در مورد حملات وب و بهره برداری وجود دارد؟ بیش از دو دهه از زمانی که Jeff “Rain Forest Puppy” Forristal اولین بار تزریق SQL ناشناخته در آن زمان را در مجله الکترونیکی معروف Phrack در سال 1998 مورد بحث قرار داد می گذرد. وب نقش مهمی در زندگی روزمره و عملیات تجاری ما ایفا می کند. از صفحات وب استاتیک به عصر محتوای تولید شده توسط کاربر معروف به وب 2.0 پیشرفت کرده است و اکنون وب 3.0 را داریم، وب غیرمتمرکز که بر اساس فناوری بلاک چین عمل می کند. با توجه به اینکه از همان ابتدا درگیر امنیت برنامه های وب بوده ایم، ارزیابی وضعیت فعلی حملات و بهره برداری از آسیب پذیری های وب برای ما جذاب است. همانطور که توسط OWASP TOP 10 پیشنهاد شده است، ماهیت این آسیب‌پذیری‌ها نسبتاً ثابت است، اگرچه ویژگی‌های خاص آنها تکامل می‌یابد. بررسی اینکه چگونه تهدیدات پایدار پیشرفته (APT) اغلب از حملات وب برای دسترسی اولیه و تداوم استفاده می‌کنند، جالب است – نقشه‌برداری آنها با استفاده از MITER ATT&CK. این کتاب درک عمیقی از روش‌های هکرها برای حملات وب و بهره‌برداری ارائه می‌کند و برخی از Capture Flags (CTF) که ایجاد کرده‌ایم و چندین آسیب‌پذیری و قرار گرفتن در معرض رایج (CVE) که کشف کرده‌ایم را تجزیه و تحلیل می‌کند. بخش اول به شما کمک می کند تا متدولوژی ها و چارچوب ها، نحوه پیکربندی آزمایشگاه تحقیقاتی خود و نحوه خودکارسازی وظایف با Bash و Python را درک کنید. بخش دوم و سوم شما را از طریق مثال های عملی با استفاده از تجزیه و تحلیل پویا، تجزیه و تحلیل کد منبع، معکوس کردن باینری ها، اشکال زدایی و ابزار دقیق راهنمایی می کند. در هر فصل، مقدمه‌ای مختصر در مورد اصول اولیه هر فناوری خاص، آسیب‌پذیری و خطر را خواهید یافت. سپس، دستورالعمل‌های گام به گام را برای کشف و بهره‌برداری از آسیب‌پذیری‌ها ارائه می‌کنیم. در بخش دوم، مروری بر آسیب‌پذیری‌های همیشه سبز در احراز هویت با استفاده از یک مورد در SAML، تزریق SQL و اسکریپت بین سایتی (XSS) در وردپرس، و Command Injection و Path Traversal در دستگاه‌های اینترنت اشیا (IoT) خواهید داشت. و سپس بر تجزیه و تحلیل کد منبع و معکوس کردن باینری ها تمرکز خواهیم کرد. در قسمت سوم، آسیب‌پذیری‌هایی را در زمینه‌های جدیدتر، تبدیل XSS به اجرای کد از راه دور (RCE)، تجزیه و تحلیل برنامه‌های جاوا اسکریپت الکترون و بهره‌برداری از Reentrancy معروف هنگام ممیزی قرارداد هوشمند اتریوم که در Solidity نوشته شده است، خواهید دید. پس از مطالعه این کتاب، مهارت‌های خود را در شناسایی و استفاده از آسیب‌پذیری‌های وب و درک پیامدهای افشای اطلاعات افزایش خواهید داد.

هدف این کتاب هر کسی است که باید امنیت سازمان خود را تضمین کند. این برای تست‌کنندگان نفوذ و تیم‌های قرمز است که می‌خواهند دانش خود را در مورد چالش‌های امنیتی فعلی برای برنامه‌های کاربردی وب، توسعه‌دهندگان و مهندسان DevOps که می‌خواهند وارد ذهنیت مهاجمان شوند، و مدیران امنیتی و افسران ارشد امنیت اطلاعات (CISO) که می‌خواهند تعمیق کنند. درک واقعی تأثیر و خطر قراردادهای وب، اینترنت اشیا و هوشمند از دیدگاه مهاجمان.

Why is there a need for another book on web attacks and exploitation? More than two decades have passed since Jeff “Rain Forest Puppy” Forristal first discussed the then-unknown SQL injection in the well-known Phrack e-zine in 1998. The web plays a significant role in our daily lives and business operations. It has progressed from static web pages to the era of user-generated content known as Web 2.0, and now we have Web 3.0, a decentralized web that operates on blockchain technology. Having been involved in web application security from its infancy, we find it fascinating to assess the current state of attacks and exploitation of web vulnerabilities. As suggested by the OWASP TOP 10, the nature of these vulnerabilities remains relatively consistent, although their specific characteristics evolve. Examining how Advanced Persistent Threats (APTs) often use web attacks for initial access and persistence is interesting – mapping them using MITRE ATT&CK. This book will provide an in-depth understanding of hackers’ methods for web attacks and exploitation, analyzing some Capture the Flags (CTFs) we created and several Common Vulnerabilities and Exposures (CVEs) we discovered. The first part helps you understand the methodologies and frameworks, how to configure your research lab, and how to automate tasks with Bash and Python. The second and third parts will guide you through practical examples using dynamic analysis, analyzing source code, reversing binaries, debugging, and instrumenting. In each chapter, you will find a brief introduction to the basics of each specific technology, the vulnerability, and the risk. Then, we’ll provide step-by-step instructions to discover and exploit the vulnerabilities. In the second part, you’ll get an overview of evergreen vulnerabilities in authentication with a use case on SAML, SQL injection and Cross-Site Scripting (XSS) on WordPress, and Command Injection and Path Traversal on Internet of Things (IoT) devices, and then we’ll focus on analyzing source code and reversing binaries. In the third part, you will see vulnerabilities in newer contexts, turning an XSS into a Remote Code Execution (RCE), analyzing Electron JavaScript applications and, exploiting the famous Reentrancy when auditing an Ethereum smart contract written in Solidity. After reading this book, you will have improved your skills in identifying and taking advantage of web vulnerabilities and comprehending the consequences of disclosure.

This book is aimed at anyone who must ensure their organization’s security. It’s for penetration testers and red teamers who want to deepen their knowledge of the current security challenges for web applications, Developers and DevOps Engineers who want to get into the mindset of an attacker, and Security Managers and Chief Information Security Officers (CISOs) who want to truly understand the impact and risk of the Web, IoT, and smart contracts from an attacker’s point of view.

این کتاب را میتوانید از لینک زیر بصورت رایگان دانلود کنید:

Download: Attacking and Exploiting Modern Web Applications

مشاهده بیشتر

نظرات کاربران

  •  چنانچه دیدگاه شما توهین آمیز باشد تایید نخواهد شد.
  •  چنانچه دیدگاه شما جنبه تبلیغاتی داشته باشد تایید نخواهد شد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

مطالب تصادفی ماه گذشته

بیشتر بخوانید

آهنگ خارجی
کتب علمی
رمان انگلیسی
کتب عمومی