آموزش کاربردی تست نفوذ وب
( این کتاب ناموجود است )
مخاطبان اصلی این کتاب، افراد علاقهمند به موضوع "حمله به برنامههای کاربردی وب و مقابله با حملات تحت وب" هستند. همچنین افرادی که نقش توسعهدهنده یا یک مدیر را در حوزه مدیریت برنامههای کاربردی وب بر عهده دارند نیز میتوانند از مطالب کاربردی این کتاب استفاده کنند. فرض مؤلف کتاب بر این است که شما به عنوان یک علاقهمند در یادگیری مفاهیم عملیاتی دوره "تست نفوذ وب"، پیشتر با مباحث Network+، Linux(LPIC1/Essentials)، Programming و Security+ آشنا بودهاید و اکنون میخواهید با موضوعات جدیدی در دنیای وب آشنا شوید. مطالب این کتاب بهصورت کاملا گویا و همراه با تصویر و آخرین تغییرات در ابزارها تشریح شده است که نیاز علاقهمندان را برای یادگیری دوره "تست نفوذ وب" تا سطح بسیار خوبی بر طرف میکند. همچنین در نگارش این کتاب، اطلاعات فنی و تجربی بسیاری که برای یادگیری آن نیاز به چندین ماه تجربه میباشد نیز گنجانده شده است.
Hack , امنيت , وب , وب و اينترنت , تست نفوذ
نوبت چاپ | one |
---|---|
ویرایش | one |
وزن | 550 گرم |
جلد | 1 از 1 |
موجود است؟ | خیر |
---|---|
چاپ شده است؟ | بلی |
در حال پیش فروش است؟ | خیر |
کتاب الکترونیکی است؟ | خیر |
Web-Application چیست؟
Web-Server چیست؟
HTTP (Request، Header، Body، Method) چیست؟
HTTP-Request
HTTP-Response
مکانیزمهای احرازهویت در پروتکل HTTP
شماهای رمزگذاری (Encoding Schemes)
فایل متنی Robots.txt
آسیب پذیریهای رایج در وب
متدولوژی و استانداردهای تست نفوذ
مراحل تست نفوذ
نصب افزونههای کاربردی
پیکربندی آزمایشگاه تستنفوذ در کالی لینوکس
فصل دوم؛ گردآوری اطلاعات
روشهای گردآوری اطلاعات
سایت archive.org
سایت shodan.io
Google-Hacking
HTTrack
Banner-Grabbing
Header Wording: The header "Content-Length" is returned vs. "Content-length"
شناسایی Load-Balancers
تشخیص IP آدرس اصلی پشت L-Bها
شناساییWAF
شناسایی دیوارآتش (Firewall)
تکنیکهای پیشرفته ی گریز از سیستمهای تشخیص نفوذ و دیوارآتش
شناسایی و آنالیز DNS، دامنه و زیر دامنهها
شناسایی و آنالیز سیستمهای مدیریت محتوا (CMS)
استخراج فَـرا داده (Meta Data)
Web-Application Profiling
فصل سوم؛ ارزیابی آسیبپذیریها
Acunetix
Vega
OWASP-ZAP
Proxy-Strike
Wapiti
Nikto
Netsparker
Arachni
Fiddler
Xenotix
Burp-Suite
Grabber
Paranoicscan
فصل چهارم؛ حمله به احرازهویت
آنالیز نام کاربری و گذرواژه
آسیبپذیری "بازیابی گذرواژه"
حمله احرازهویت Form-Based
حمله احرازهویت HTTP-Basic
ابزارهای حمله احرازهویت
Hydra
DirBuster
WebSlayer
عبور از احرازهویت فرمهای-ورود بر پایه SQL
هایجک(Hijack) کوکیهای نشست وب
پلاگین Web-Developer
پلاگین Greasemonkey
Cookie-Cadger
آنالیز Session-ID(Session-Token)
غلبه بر رمزگذاری_Encoding
آنالیز محدوده عددی
مکانیزم های SessionLess یا StateLess
حمله به توکنها
محاسبه و پیشبینی دستی توکنها
محاسبه و پیشبینی خودکار توکنها
فصل پنجم؛ حملات تحت وب
حمله Command-Injection
حمله SQL-Injection
شناسایی، تشخیص و تست آسیبپذیری SQLi
حمله Redirection
حمله XSS (Cross-Site Scripting)
بخش یکم، Reflected/Non-Persistent XSS:
بخش دوم، Stored/Persistent XSS:
بخش سوم، DOM-based XSS:
حمله (Cross-Site Request Forgery) CSRF
آسیب پذیری "بارگذاری فایل"
حمله تصاحب زیر دامنه
حمله XXE (XML eXternal Entity)
حمله Template Injection
حمله LFI/RFI (Local/Remote File Inclusion)
حمله SSRF (Server-Side Request Forgery)
فصل ششم؛ پیشگیری از حملات وب
پیشگیری از حملات تزریق
ساخت روالهای اصولی در مدیریت نشستها و احراز هویت
پیشگیری از حملات Cross-Site Scripting
پیشگیری از حملات إرجاع نا امن به اشیاء
پیادهسازی درست پیکربندی امنیتی
محافظت از دادههای حساس
بررسی سطوح دسترسی به توابع
پیشگیری از حملات CSRF
رفع آسیبپذیریهای شناخته شده در مؤلفهها
پیشگیری از حملات نامعتبر Redirects
# | موضوع | عنوان | توضیح | دانلود |
---|---|---|---|---|
1 | نمونه pdf | چند صفحه آغازین کتاب | دانلود | |
2 | مقاله و سند | منابع کتاب | فایل منابع کتاب | دانلود |
با سلام. در صفحه250, بخش تست-xss-در-بارگذاری-فایل, خط دوم باید اصلاح شود. جمله اصلاح شده میشود: همانطور که میدانید, برخی از سیستم عامل ها در حالت معمول اجازه نامگذاری فایل هایی که حاوی کارکترهای....... هستند را نمیدهند. اما, میتوان با استفاده از ترفندهایی چنین فایلهایی مثلا در لینوکس ساخت. موفق باشید.
امتیاز
ثبت نظر/پرسش/پیشنهاد
کتابهای مرتبط
احتمالا دوست داشته باشید