معرفی و دانلود کتاب تکنیک‌های تست و نفوذ به وب سایت

معرفی کتاب تکنیک‌های تست و نفوذ به وب سایت

بهروز منصوری و شهاب الدین علی آبادی فراهانی در کتاب تکنیک‌های تست و نفوذ به وب سایت ضمن بررسی برخی از خطرات و حملات مربوط به وب سایت‌ها شما را با مباحثی آشنا می‌کنند که بتوانید جهت پیشگیری و امن‌سازی وب سایت خود از آن‌ها استفاده نمایید.

امروزه افراد بسیاری در سرتاسر دنیا به اینترنت دسترسی دارند. افرادی که چه در زمان عضویت در یک شبکه اجتماعی و چه در زمان استفاده از وب سایت‌های بزرگ بانکی، نیازمند امنیت برای حفظ اطلاعات خود هستند. در حال حاضر امنیت در فضای اینترنت روز به روز اهمیت بیشتری پیدا می‌کند.

با افزایش تعداد کاربران اینترنت، تعداد افرادی هم که در پی سوء استفاده در این فضا هستند رو به افزایش است. به همین خاطر امنیت و حفاظت در اینترنت یکی از مهارت‌های پر اهمیت دنیای تکنولوژی محسوب می‌شود که می‌بایست در هر سطحی مورد توجه قرار بگیرد.

بنابراین چه کاربران عادی و چه متخصصان و طراحان وب سایت‌ها‌ همگی باید به دانشی درست برای حفظ امنیت دست پیدا کنند. باید توجه داشت که حملات آنلاین اهداف گوناگونی دارند. وب سایت شما ممکن است اطلاعات ارزشمندی برای دزدیده شدن داشته باشد و یا از آن برای نشر بدافزار‌ها استفاده شود.

همان طور که می‌دانیم یکی از مهم‌ترین اعضای یک برنامه کامپیوتری پایگاه داده آن است، پس یکی از قسمت‌هایی که معمولا هکرها علاقه خاصی به نفوذ در آن دارند، پایگاه داده نرم‌افزار خواهد بود که دلیل آن بسیار ساده است، زیرا پایگاه داده قلب تپنده نرم‌افزار بوده و اطلاعات مهمی مثل سوابق مشتریان یا اسناد محرمانه یک شرکت را دارد.

در بخشی از کتاب تکنیک‌های تست و نفوذ به وب سایت می‌خوانیم:

در ایران معمولا پس از کشف آسیب ‌پذیری، مسیری بسیار بد طی می‌شود. ابتدا هکر کلاه ‌سفید، در میان شبکه‌های اجتماعی و آشنایان به دنبال آشنایی می‌گردد تا بتواند باگ خود را به پول تبدیل کند. در بهترین حالت بعد از پیدا کردن لینک در داخل سازمان، بحث بر سر شدت آسیب ‌پذیری به بدترین شکل ممکن صورت می‌گیرد. بدین ‌صورت که هکر کلاه ‌سفید، اصرار بر خطرناک بودن آسیب ‌پذیری خود دارد، در عین حال، سازمان، ادعای امن بودن کرده و تقاضای دیدن POC برای تخمین شدت آسیب پذیری را دارد.

هکر کلاه سفید به دلیل ترس از (از دست دادن آسیب پذیری)، از دادن جزئیات امتنا می‌کند. در اکثر مواقع هم بعد از ارائه جزئیات توسط هکر کلاه سفید، سازمان اظهار کم اهمیت بودن سامانه آسیب‌پذیر را می‌کند. این روال بسیار غلط است، اصلا نیازی به کشف روال صحیح نیست، کافی است ببینیم سازمان‌ها و شرکت‌های بزرگ دنیا چه کار می‌کنند؟

فهرست مطالب کتاب

چکیده مطالب
مقدمه
Excessive and unused pricileges
Privilege Abuse
(Input Injection (Formerly Sql Injection
Malware
Weak Audit Trail
Storage Media Exposure
Exploitation of vulnerable, Misconfigured Databases
Unmanaged Sensitive Data
Danial of Service
Limited Security Expertise and Education
حملات تزریق اسکیوال چیست؟
حملات تزریق اسکیوال بر روی چه اپلیکیشن‌هایی رخ می‌دهند؟
حملات تزریق sql چگونه رخ می‌دهند؟
چند نکته که درباره حملات sql وجود دارد و معمولا به آن‌ها توجه نمی‌شود
مقدمات Sql Injection
تکنیک Blind Sql Injection
تکنیک Time Based Blind Injection
حملات Evil Twin Injection
بایپس صفحه لاگین با استفاده از Sql Injection
حملات Insert Query Injection
حملات Update Query Injection
حملات Delete Query Injectio
حملات (XSS Injection With Sqli (xssqli
حمله تزریق کد (XSS) چیست؟
حملات (DDOS Using Sql Injection (Siddos
حمله دیداس DDOS چیست؟
حملات Url Spoofing with Sql injection
Iframe چیست؟
حملات Dumping Database From Login Form
حملات (DIOS (Dumping in One Shot
امنیت در پایگاه داده‌های NoSql
چه کسی از NoSQL استفاده می‌کند؟
آیا NoSql نا امن است؟
امن سازی پایگاه داده‌های NoSql
تجزیه و تحلیل امنیت و عملکرد پایگاه داده‌های رمزگذاری شده NoSql
محاسبات روی داده‌های رمزگذاری شده
باگ بانتی یا جایزه به ازای آسیب پذیری
تعریف سامانه باگ ‌بانتی
مقایسه برنامه بانتی و روش سنتی آزمون نفوذ
پیش‌بینی دغدغه و نگرانی احتمالی سازمان‌ها و شرکت‌ها
نکاتی که هنگام گزارش یک آسیب پذیری باید رعایت کنیم
قبل از گزارش‌نویسی
گزارش‌نویسی
توضیح کامل در مورد آسیب‌پذیری
آسیب‌پذیری فنی با الگوی قبلی
آسیب‌پذیری منطقی با الگوی خاص
شدت خطر آسیب‌پذیری
سناریو حمله و سواستفاده
مراحل دقیق تولید آسیب‌پذیری
اثبات آسیب‌پذیری و نحوه اکسپلویت
ابزارها، payloadها و کدهای استفاده شده در عملیات کشف و اکسپلویت
نمونه‌هایی از گزارش‌های بد
برنامه برتر باگ بانتی در 2019