نمایش محتوای اصلی
در حال بارگذاری ...
Search
سبد خرید (0)

آموزش کاربردی تست نفوذ وب

( این کتاب ناموجود است )
علیرضا عظیم زاده
(13 امتیاز)
شابک: 2-21-8201-600-978

مخاطبان اصلی این کتاب، افراد علاقه‌مند به موضوع "حمله به برنامه‌های کاربردی وب و مقابله با حملات تحت وب" هستند. همچنین افرادی که نقش توسعه‌دهنده یا یک مدیر را در حوزه مدیریت برنامه‌های کاربردی وب بر عهده دارند نیز می‌توانند از مطالب کاربردی این کتاب استفاده کنند. فرض مؤلف کتاب بر این است که شما به عنوان یک علاقه‌مند در یادگیری مفاهیم عملیاتی دوره "تست نفوذ وب"، پیش‌تر با مباحث Network+، Linux(LPIC1/Essentials)، Programming و Security+ آشنا بوده‌اید و اکنون می‌خواهید با موضوعات جدیدی در دنیای وب آشنا شوید. مطالب این کتاب به‌صورت کاملا گویا و همراه با تصویر و آخرین تغییرات در ابزارها تشریح شده است که نیاز علاقه‌مندان را برای یادگیری دوره "تست نفوذ وب" تا سطح بسیار خوبی بر طرف می‌کند. همچنین در نگارش این کتاب، اطلاعات فنی و تجربی بسیاری که برای یادگیری آن نیاز به چندین ماه تجربه می‌باشد نیز گنجانده شده است.

1395
344
65,000 تومان 75,000 تومان
-
+

نوبت چاپ یک
ویرایش یک
وزن 550 گرم
جلد 1 از 1
موجود است؟ خیر
چاپ شده است؟ بلی
در حال پیش فروش است؟ خیر
کتاب الکترونیکی است؟ خیر
تست ‌نفوذپذيري، فرآيند ارزيابي امنيتي شبكه يا سيستم‌هاي رايانه‌اي است که به صورت شبيه‌سازي يك حمله توسط یک هكر اخلاقی صورت می‌گیرد. هدف از تست نفوذپذيري، افزایش ضریب امنيتی داده‌ها است. اطلاعات و ضعف‌هاي امنيتي كه در تست نفوذپذيري مشخص می‌شود محرمانه تلقي می‌شود و نبايد تا برطرف شدن كامل، افشاء شود. ولي در مورد هكرهای بد اندیش به این صورت نخواهد بود؛ چون هکرها از هر موقعيت زماني و حفره امنيتي، براي نفوذ استفاده می‌کنند و برخی از آنها به اکسپلویت‌های 0day دسترسي دارند و اغلب از حملات مشخص و غیر قابل تشخیص/جلوگيري استفاده می‌کنند. اما، چرا تست‌نفوذ؟ زیرا یکی از روش‌های مقابله با حملات، شبیه‌سازی واقعی یک حمله و پیاده‌سازی تفکرات هکرهای بد اندیش، پیش از آسیب رسیدن و سوء استفاده از منابع نرم‌افزاری و سخت‌افزاری است.
فصل نخست؛ پیش‌درآمد
Web-Application چیست؟
Web-Server چیست؟
HTTP (Request، Header، Body، Method) چیست؟
HTTP-Request
HTTP-Response
مکانیزم‌های احرازهویت در پروتکل HTTP
شماهای رمزگذاری (Encoding Schemes)
فایل متنی Robots.txt
آسیب پذیری‌های رایج در وب
متدولوژی و استانداردهای تست نفوذ
مراحل تست نفوذ
نصب افزونه‌های کاربردی
پیکربندی آزمایشگاه تست‌نفوذ در کالی لینوکس
فصل دوم؛ گرد‌آوری اطلاعات
روش‌های گردآوری اطلاعات
سایت archive.org
سایت shodan.io
Google-Hacking
HTTrack
Banner-Grabbing
Header Wording: The header "Content-Length" is returned vs. "Content-length"
شناسایی Load-Balancers
تشخیص IP آدرس اصلی پشت L-Bها
شناساییWAF
شناسایی دیوارآتش (Firewall)
تکنیک‌های پیشرفته ی گریز از سیستم‌های تشخیص نفوذ و دیوارآتش
شناسایی و آنالیز DNS، دامنه و زیر دامنه‌ها
شناسایی و آنالیز سیستم‌های مدیریت محتوا (CMS)
استخراج فَـرا داده (Meta Data)
Web-Application Profiling
فصل سوم؛ ارزیابی آسیب‌پذیری‌ها
Acunetix
Vega
OWASP-ZAP
Proxy-Strike
Wapiti
Nikto
Netsparker
Arachni
Fiddler
Xenotix
Burp-Suite
Grabber
Paranoicscan
فصل چهارم؛ حمله به احرازهویت
آنالیز نام کاربری و گذرواژه
آسیب‌پذیری "بازیابی گذرواژه"
حمله احرازهویت Form-Based
حمله احرازهویت HTTP-Basic
ابزارهای حمله احرازهویت
Hydra
DirBuster
WebSlayer
عبور از احرازهویت فرمهای-ورود بر پایه SQL
هایجک(Hijack) کوکیهای نشست وب
پلاگین Web-Developer
پلاگین Greasemonkey
Cookie-Cadger
آنالیز Session-ID(Session-Token)
غلبه بر رمزگذاری_Encoding
آنالیز محدوده عددی
مکانیزم های SessionLess یا StateLess
حمله به توکنها
محاسبه و پیشبینی دستی توکنها
محاسبه و پیشبینی خودکار توکنها
فصل پنجم؛ حملات تحت وب
حمله Command-Injection
حمله SQL-Injection
شناسایی، تشخیص و تست آسیب‌پذیری SQLi
حمله Redirection
حمله XSS (Cross-Site Scripting)
بخش یکم، Reflected/Non-Persistent XSS:
بخش دوم، Stored/Persistent XSS:
بخش سوم، DOM-based XSS:
حمله (Cross-Site Request Forgery) CSRF
آسیب پذیری "بارگذاری فایل"
حمله تصاحب زیر دامنه
حمله XXE (XML eXternal Entity)
حمله Template Injection
حمله LFI/RFI (Local/Remote File Inclusion)
حمله SSRF (Server-Side Request Forgery)
فصل ششم؛ پیشگیری از حملات وب
پیشگیری از حملات تزریق
ساخت روال‌های اصولی در مدیریت نشست‌ها و احراز هویت
پیشگیری از حملات Cross-Site Scripting
پیشگیری از حملات إرجاع نا امن به اشیاء
پیاده‌سازی درست پیکربندی امنیتی
محافظت از داده‌های حساس
بررسی سطوح دسترسی به توابع
پیشگیری از حملات CSRF
رفع آسیب‌پذیری‌های شناخته شده در مؤلفه‌ها
پیشگیری از حملات نامعتبر Redirects
# موضوع عنوان توضیح دانلود
1 نمونه pdf چند صفحه آغازین کتاب دانلود
2 مقاله و سند منابع کتاب فایل منابع کتاب دانلود
علیرضا عظیم زاده 1395/08/18 11:34:44

با سلام. در صفحه250, بخش تست-xss-در-بارگذاری-فایل, خط دوم باید اصلاح شود. جمله اصلاح شده میشود: همانطور که میدانید, برخی از سیستم عامل ها در حالت معمول اجازه نامگذاری فایل هایی که حاوی کارکترهای....... هستند را نمیدهند. اما, میتوان با استفاده از ترفندهایی چنین فایلهایی مثلا در لینوکس ساخت. موفق باشید.

امتیاز
4.85/5 (400 نظر)
ثبت نظر/پرسش/پیشنهاد

کتاب‌های مرتبط

احتمالا دوست داشته باشید

(1 امتیاز)
امنیت شبکه گام اول
198,000 تومان 220,000 تومان
(1 امتیاز)
تزریق SQL، حمله و دفاع
252,000 تومان 280,000 تومان
; ;
;