书籍详情
![《Web漏洞搜索彼得·亚沃斯基著,恒安信籍》[48M]百度网盘|亲测有效|pdf下载](/uploads/2024-01-20/a899f19a5c7304c2.jpg)
Web漏洞搜索彼得·亚沃斯基著,恒安信籍
- 出版社:辽宁少年儿童出版社图书专营店
- 出版时间:2021-09
- 热度:12193
- 上架时间:2024-06-30 09:38:03
- 价格:0.0
书籍下载
书籍预览
免责声明
本站支持尊重有效期内的版权/著作权,所有的资源均来自于互联网网友分享或网盘资源,一旦发现资源涉及侵权,将立即删除。希望所有用户一同监督并反馈问题,如有侵权请联系站长或发送邮件到ebook666@outlook.com,本站将立马改正
内容介绍
| 图书基本信息 | |
| 图书名称 | Web漏洞搜索 |
| 作者 | [美]彼得·亚沃斯基(PeterYaworski)著,恒安信 |
| 定价 | 89元 |
| 出版社 | 机械工业出版社 |
| ISBN | 9787111691358 |
| 出版日期 | 2021-09-01 |
| 字数 | |
| 页码 | 264 |
| 版次 | |
| 装帧 | 平装 |
| 开本 | 16开 |
| 商品重量 | |
| 内容提要 | |
| 本书从道德黑客的角度出发,结合赏金漏洞实例,向读者介绍应如何处理应用程序中的漏洞,如何寻找赏金漏洞和提交方案报告。主要内容包括什么是漏洞和漏洞悬赏,如何在漏洞挖掘平台上挖掘开放式重定向漏洞、参数污染漏洞、跨站请求伪造漏洞、HTML注入和内容欺骗漏洞、回车换行注入漏洞、跨站脚本漏洞、模板注入漏洞、SQL注入漏洞、服务端请求伪造漏洞、内存漏洞、子域接管漏洞、不安全的直接对象引用漏洞、OAuth漏洞、应用程序逻辑和配置漏洞等,并提交给平台,进而对漏洞进行修复,以及如何获得漏洞奖金、漏洞报告如何编写等。 |
| 目录 | |
| 译者序 n 序言 n 前言 n 致谢 n 作者简介 n 技术审校者简介 n 章 漏洞悬赏入门1 n 11 漏洞和漏洞悬赏1 n 12 客户端和服务器端2 n 13 当你访问一个网址时发生了什么3 n 14 请求7 n 15 总结10 n 第2章 开放式重定向11 n 21 开放式重定向如何工作12 n 22 Shopify主题设置的开放式重定向漏洞14 n 23 Shopify 登录的开放式重定向漏洞14 n 24 HackerOne中间网页重定向漏洞16 n 25 总结18 n 第3章 参数污染19 n 31 服务器端 HPP19 n 32 客户端HPP22 n 33 HackerOne分享按钮23 n 34 Twitter取消订阅通知24 n 35 Twitter弹出窗口26 n 36 总结28 n 第4章 跨站请求伪造29 n 41 身份认证30 n 42 通过GET请求发起CSRF攻击32 n 43 通过POST请求发起CSRF攻击33 n 44 抵御CSRF攻击35 n 45 Shopify Twitter 断连接攻击37 n 46 改变用户的Instacart地区攻击38 n 47 Badoo全账号接管39 n 48 总结42 n 第5章 HTML注入和内容欺骗43 n 51 通过字符编码进行Coinbase评论注入攻击44 n 52 HackerOne非预期HTML包含漏洞46 n 53 HackerOne非预期HTML包含补丁绕过漏洞48 n 54 WithiSecurity内容欺骗漏洞49 n 55 总结51 n 第6章 回车换行注入52 n 61 请求夹带攻击53 n 62 vshopify响应分割攻击53 n 63 Twitter 响应分割攻击55 n 64 总结57 n 第7章 跨站脚本58 n 71 XSS的类型62 n 72 Shopify Wholesale XSS漏洞65 n 73 Shopify货币格式XSS漏洞67 n 74 雅虎邮件存储型XSS漏洞68 n 75 Google图像搜索XSS漏洞70 n 76 Google标签管理器存储型XSS漏洞71 n 77 联合航空网站XSS漏洞73 n 78 总结76 n 第8章 模板注入78 n 81 服务器端模板注入78 n 82 客户端模板注入79 n 83 Uber AngularJS模板注入80 n 84 Uber Flask Jinja2模板注入81 n 85 Rails动态呈现漏洞84 n 86 UnikrSmarty模板注入86 n 87 总结89 n 第9章 SQL注入90 n 91 SQL数据库90 n 92 防御SQLi92 n 93 雅虎体育盲SQLi93 n 94 Uber盲SQLi96 n 95 Drupal SQLi100 n 96 总结103 n 0章 服务器端请求伪造105 n 101 展示SSRF的影响105 n 102 调用 GET 与 POST 请求106 n 103 执行盲测 SSRF107 n 104 使用 SSRF 响应攻击用户108 n 105 ESEA SSRF 和 AWS 元数据请求108 n 106 Google内部 DNS SSRF111 n 107 使用Webhook进行内网端口扫描115 n 108 总结117 n 1章 XML外部实体118 n 111 XML118 n 1111 文档类型定义119 n 1112 XML 实体121 n 112 XXE攻击如何发挥作用122 n 113 读取Google的访问权限123 n 114 Facebook XXE Word漏洞124 n 115 Wikiloc XXE126 n 116 总结129 n 2章 远程代码执行130 n 121 执行Shell命令130 n 122 执行函数132 n 123 远程调用的升级策略133 n 124 Polyvore ImageMagick漏洞134 n 125 Algolia RCE 漏洞137 n 126 SSH RCE 漏洞139 n 127 总结141 n 3章 内存漏洞142 n 131 缓冲区溢出143 n 132 越界读取146 n 133 PHP ftp_genlist整数溢出漏洞147 n 134 PythoHotshot模块148 n 135 Libcurl越界读取149 n 136 总结150 n 4章 子域接管151 n 141 理解域名151 n 142 子域接管工作原理152 n 143 Ubiquiti的子域接管153 n 144 Scanme指向Zendesk154 n 145 Shopify Windsor子域接管155 n 146 Snapchat Fastly接管156 n 147 Legal Robot接管157 n 148 Uber SendGrid Mail接管158 n 149 总结160 n 5章 竞争条件161 n 151 多次接受同一个HackerOne邀请162 n 152 Keybase超过邀请数上限164 n 153 HackerOne付款竞争性条件165 n 154 Shopify合作伙伴竞争条件166 n 155 总结168 n 6章 不安全的直接对象引用169 n 161 查找简单的IDOR169 n 162 查找复杂的IDOR170 n 163 Binary 权限升级171 n 164 Moneybird 应用程序创建172 n 165 Twitter Mopub API Toke被盗174 n 166 ACME 客户信息泄露175 n 167 总结177 n 7章 OAuth漏洞178 n 171 OAuth工作流179 n 172 窃取Slack OAuth令牌182 n 173 使用默认密码通过身份验证183 n 174 窃取微软登录令牌184 n 175 刷Facebook官方访问令牌186 n 176 总结187 n 8章 应用程序逻辑和配置漏洞189 n 181 绕过Shopify管理员特权190 n 182 绕过Twitter账户保护192 n 183 HackerOne信号处理193 n 184 HackerOne不正确的S3 Bucket n 权限194 n 185 绕过GitLab双重身份验证196 n 186 雅虎PHP的信息披露197 n 187 HackerOne Hacktivity投票199 n 188 访问PornHub的Memcache安装201 n 189 总结203< |
| 编辑推荐 | |
| 适读人群 :对漏洞挖掘感兴趣的读者;程序开发人员 这本书教你如何在漏洞赏金平台搜索漏洞、提交报告并获得赏金。 n 不管你是网页开发人员、网页设计师、全职、10岁的孩子还是75岁的退休人员,都适合阅读本书,但是拥有一些编程经验、熟悉网络技术会更有助于理解书中内容。 |