Доступно

Real-World Bug Hunting (Peter Yaworski)

Тема в разделе "Компьютеры и интернет"

Цена:
1600 руб
Взнос:
40 руб
Организатор:
Dr.Vatson

Список участников складчины:

1. Dr.Vatson 2. victimofchanges
Купить
  1. Dr.Vatson Организатор складчин

    Real-World Bug Hunting (Peter Yaworski)

    [​IMG]

    Real-World Bug Hunting is a field guide to finding software bugs. Ethical hacker Peter Yaworski breaks down common types of bugs, then contextualizes them with real bug bounty reports released by hackers on companies like Twitter, Facebook, Google, Uber, and Starbucks. As you read each report, you'll gain deeper insight into how the vulnerabilities work and how you might find similar ones.

    Each chapter begins with an explanation of a vulnerability type, then moves into a series of real bug bounty reports that show how the bugs were found. You'll learn things like how Cross-Site Request Forgery tricks users into unknowingly submitting information to websites they are logged into; how to pass along unsafe JavaScript to execute Cross-Site Scripting; how to access another user's data via Insecure Direct Object References; how to trick websites into disclosing information with Server Side Request Forgeries; and how bugs in application logic can lead to pretty serious vulnerabilities. Yaworski also shares advice on how to write effective vulnerability reports and develop relationships with bug bounty programs, as well as recommends hacking tools that can make the job a little easier.
    Реальная охота за ошибками от Peter Yaworski
    Дата выпуска: июнь 2019 г.
    Издатель (ы): No Starch Press
    ISBN: 9781593278618

    Real-World Bug Hunting - это практическое руководство по поиску ошибок программного обеспечения. Этичный хакер Питер Яворски разбирает распространенные типы ошибок, а затем контекстуализирует их с помощью реальных отчетов об ошибках, публикуемых хакерами в таких компаниях, как Twitter, Facebook, Google, Uber и Starbucks. Читая каждый отчет, вы получите более глубокое представление о том, как работают уязвимости и как вы можете найти похожие.

    Каждая глава начинается с объяснения типа уязвимости, а затем переходит к серии реальных отчетов о вознаграждении за ошибки, которые показывают, как были обнаружены ошибки. Вы узнаете о том, как подделка межсайтовых запросов обманом заставляет пользователей бессознательно отправлять информацию на веб-сайты, на которые они вошли; как передать небезопасный JavaScript для выполнения межсайтового скриптинга; как получить доступ к данным другого пользователя через незащищенные прямые ссылки на объекты; как заставить веб-сайты раскрыть информацию с помощью подделки запросов на стороне сервера; и как ошибки в логике приложения могут привести к довольно серьезным уязвимостям. Яворски также делится советами о том, как составлять эффективные отчеты об уязвимостях и развивать отношения с программами вознаграждения за ошибки, а также рекомендует хакерские инструменты, которые могут немного облегчить эту работу.

    Оглавление
    Обложка
    Титульный лист
    Страница авторских прав
    об авторе
    О Техническом обозревателе
    Краткое содержание
    Содержание в деталях
    Предисловие Майкл Принс и Джоберт Абма
    Благодарности
    Введение
    Кому следует прочитать эту книгу
    Как читать эту книгу
    Что в этой книге
    Заявление о взломе

    1 Основы Bug Bounty
    Уязвимости и Bug Bounties
    Клиент и Сервер
    Что происходит, когда вы посещаете веб-сайт
    HTTP-запросы
    Резюме

    2 Открытое перенаправление
    Как работают открытые перенаправления
    Установить тему Shopify Открыть перенаправление
    Shopify Вход Открыть Перенаправление
    HackerOne Interstitial Redirect
    Резюме

    3 Загрязнение параметров HTTP
    Серверная HPP
    Клиентская HPP
    Кнопки социального обмена HackerOne
    Уведомления об отказе от подписки в Twitter
    Веб-намерения Twitter
    Резюме

    4 Подделка межсайтовых запросов
    Аутентификация
    CSRF с запросами GET
    CSRF с запросами POST
    Защита от атак CSRF
    Shopify Отключение Twitter
    Изменить зоны Instacart пользователей
    Полный захват аккаунта Badoo
    Резюме

    5 Внедрение HTML и подмена контента
    Внедрение комментариев Coinbase с помощью кодировки символов
    HackerOne - непреднамеренное включение HTML
    HackerOne Unintended HTML Include Fix Bypass
    Спуфинг содержимого безопасности
    Резюме

    6 Впрыск подачи строки возврата каретки
    Контрабанда HTTP-запросов
    v.shopify.com Разделение ответов
    Разделение HTTP-ответа Twitter
    Резюме

    7 Межсайтовый скриптинг
    Типы XSS
    Shopify Оптовая
    Форматирование валюты Shopify
    Yahoo! Почтовый хранимый XSS
    Поиск картинок Google
    Сохраненный XSS в Диспетчере тегов Google
    United Airlines XSS
    Резюме

    8 Внедрение шаблона
    Внедрение шаблонов на стороне сервера
    Внедрение шаблонов на стороне клиента
    Внедрение шаблона Uber AngularJS
    Внедрение шаблона Uber Flask Jinja2
    Динамический рендер Rails
    Внедрение шаблона Unikrn Smarty
    Резюме

    9 SQL-инъекция
    Базы данных SQL
    Контрмеры против SQLi
    Yahoo! Спорт Слепой SQLi
    Убер Слепой SQLi
    Drupal SQLi
    Резюме

    10 Подделка запросов на стороне сервера
    Демонстрация влияния подделки запросов на стороне сервера
    Вызов GET и POST-запросов
    Выполнение слепых SSRF
    Атака на пользователей с помощью SSRF-ответов
    ESEA SSRF и запрос метаданных AWS
    Google Internal DNS SSRF
    Сканирование внутренних портов с помощью веб-перехватчиков
    Резюме

    11 Внешний объект XML
    расширяемый язык разметки
    Как работают атаки XXE
    Доступ для чтения к Google
    Facebook XXE с Microsoft Word
    Wikiloc XXE
    Резюме

    12 Удаленное выполнение кода
    Выполнение команд оболочки
    Выполнение функций
    Стратегии эскалации удаленного выполнения кода
    Polyvore ImageMagick
    Algolia RCE на facebooksearch.algolia.com
    RCE через SSH
    Резюме

    13 Уязвимости памяти
    Переполнение буфера
    Читать за гранью
    PHP ftp_genlist () Целочисленное переполнение
    Модуль Python Hotshot
    Libcurl: чтение вне пределов
    Резюме

    14 Захват субдомена
    Понимание доменных имен
    Как работает поглощение субдоменов
    Приобретение субдомена Ubiquiti
    Scan.me указывает на Zendesk
    Приобретение поддомена Shopify Виндзор
    Snapchat быстро захватывает
    Легальный захват роботов
    Поглощение почты Uber SendGrid
    Резюме

    15 Условия гонки
    Принятие приглашения HackerOne несколько раз
    Превышение лимитов приглашений Keybase
    Условия гонки HackerOne Payments
    Условия гонки партнеров Shopify
    Резюме

    16 Небезопасные прямые ссылки на объекты
    Поиск простых IDOR
    Поиск более сложных IDOR
    Повышение привилегий Binary.com
    Создание приложения Moneybird
    Кража токенов Twitter Mopub API
    Раскрытие информации о клиентах ACME
    Резюме

    17 Уязвимости OAuth
    Рабочий процесс OAuth
    Кража токенов Slack OAuth
    Прохождение аутентификации с паролями по умолчанию
    Кража токенов входа в Microsoft
    Прокрутка официальных токенов доступа Facebook
    Резюме

    18 Уязвимости в логике и конфигурации приложения
    Обход прав администратора Shopify
    Обход защиты учетной записи Twitter
    Обработка сигналов HackerOne
    HackerOne Неверные разрешения для сегмента S3
    Обход двухфакторной аутентификации GitLab
    Yahoo! Раскрытие информации PHP
    HackerOne Hacktivity Голосование
    Доступ к установке Memcache PornHub
    Резюме

    19 Как найти свою собственную награду за ошибку
    Разведка
    Тестирование приложения
    Идти дальше
    Резюме

    20 Отчеты об уязвимостях
    Прочтите Политику
    Включите детали; Затем включите больше
    Подтвердите уязвимость
    Ваша репутация
    Проявляйте уважение к компании
    Обращение к наградам за награды
    Резюме

    Инструменты
    Веб-прокси
    Перечисление субдоменов
    Открытие
    Скриншоты
    Сканирование портов
    Разведка
    Инструменты для взлома
    Мобильный
    Плагины браузера

    B Ресурсы
    Онлайн-обучение
    Платформы Bug Bounty
    Рекомендуемая литература
    Видео ресурсы
    Рекомендуемые блоги

    Индекс
    Format: EPUB, PDF.
    Скрытый текст. Доступен только зарегистрированным пользователям.Нажмите, чтобы раскрыть...
     
  2. Похожие складчины
    Загрузка...
  3. Dr.Vatson Организатор складчин
    Уведомляем вас о начале сбора взносов.
    Цена продукта: 1600 руб. Взнос с каждого участника: 40 руб.
    Кол-во участников в основном списке: 1 чел.

    Начало сбора взносов 13 Сентябрь 2020 года
     
    Dr.Vatson,
Наверх