Юрий Жуков "Основы веб-хакинга. Нападение и защита"

Самоучитель веб-хакинга.

Юрий Жуков «Основы веб-хакинга. Нападение и защита» Питер, 2011 год, 176 стр. (4,07 мб. pdf)

Основы веб-хакинга для всех интересующихся безопасностью веб-сайтов, с рассмотрением вопросов нападения и надежной защиты. Весь материал книги базируется на учебных примерах, которые вы будете тестировать на своем компьютере. Для работы будет использована виртуальная машина для системы нападения и веб приложение установленное на локальный сервер в ОС Windows, как тестовая система. Работа ведется с двумя хакерскими дистрибутивами Linux —Damn Vulnerable Linux и Back Track 4. Рассмотрены различные, наиболее распространенные инструменты взлома. Информация по методике и технологии ведения веб-хакинга из представленной книги может быть использована только в образовательных и учебных целях.
ISBN 978-5-4237-0184-0

Оглавление книги
Ведение 9
Для кого эта книга 9
Об авторе 9
От издательства 10

ЧАСТЬ I. ПРИСТУПАЯ К РАБОТЕ 11
1. О хакинге и хакерах 12
Зачем хакеры взламывают веб-сайты 12
Собственная безопасность хакера 14
2. Подготовка 16

ЧАСТЬ II. ОСНОВЫ ВЕБ-ХАКИНГА 25
3. Первый взлом 26
4. PHP-инклуд 31
Локальный PHP-инклуд 31
Удаленный PHP-инклуд 35
Реальный пример PHP-инклуда — движок NaboPoll 40
Создание хакерского веб-шелла в логах Apache через локальный инклуд 41
Реальное местоположение логов 44
Защита от удаленного инклуда 44
Защита от локального инклуда 45
5. SQL-инъекция 47
Получение информации из базы данных 53
Создание веб-шелла 54
Защита от SQL-инъекции 56
Решение проблем с кодировкой 58
6. Межсайтовый скриптинг 59
Области применения XSS 59
Пассивный межсайтовый скриптинг 60
Активный межсайтовый скриптинг 61
Пример мини-приложения, уязвимого для XSS 62
Как хакеры обходят механизм фильтрации тега <script> 67
7. Слепая SQL-инъекция 70
Получение номера версии MySQL с помощью переменной @@version 71
Проверка возможности доступа к таблице mysql.user 71
Угадывание имен таблиц 72
Угадывание имен столбцов в найденной таблице 72
Извлечение данных из найденных таблиц/столбцов 73
Слепая SQL-инъекция в движке NaboPoll 74
Автоматизация механизма извлечения данных 79
Поиск уязвимых сайтов 80
Использование временны?х задержек 81
8. Новые возможности PHP-инклуда 83
Инъекция в файл /proc/self/environ 83
Поиск логов сервера Apache 84
Инклуд почтового сообщения 84
9. CRLF-инклуд 86

ЧАСТЬ III. ЧТО ДАЛЬШЕ? 87
A. Получение полноценного доступа к шеллу 88
B. Удаленный подбор паролей 94
C. Локальный взлом паролей 102
Взлом хэшей паролей *nix-систем 102
Особенности взлома LDAP-паролей 105
Взлом MD5-хэшей 106
D. Повышение привилегий 109
E. Сокрытие следов присутствия 118
F. Исследование системы 122
10. Алгоритмы получения контроля над сервером 124
11. Удаленные эксплойты 126
12. Противодействие хакерам 128
13. Реальные задачи IT-безопасности 131
Использование инсайдерской информации для взлома пароля 131
ICQ и работа для частного детектива 133
Работа для антихакера, или «привет из Бразилии» 135

Приложение 1. Основные *nix-команды 138
Приложение 2. SQL-инъекции в модуле show.php форума Cyphor 140
Приложение 3. Взлом паролей пользователей форума Cyphor 144
Приложение 4. Использование готового эксплойта для SQL-инъекции в форуме Cyphor 150
Приложение 5. Реализация SQL-инъекций в MS SQL Jet 152
Приложение 6. Усовершенствованный текст эксплойта nabopoll.php 155
Приложение 7. Получение имен таблиц и данных через слепую SQL-инъекцию в MS Access 157
Приложение 8. Переустановка пароля администратора и угадывание его в instantCMS 158
Приложение 9. Быстрые методы слепой SQL-инъекции 161
Использование функции find_in_set(substr, strlist) 161
Использование конструкции find_in_set() + more1row 163
Приложение 10. Хакерский словарик 166

Скачать книгу бесплатно4,07 мб. pdf

Основы веб-хакинга

Жуков Ю. В. «Основы веб-хакинга. Нападение и защита»Питер, 2012 год, 205 стр., 2-е изд. (29,4 мб. djvu + CD 8,98 мб.)

Второе издание книги, дополненное.

 

 

 

Скачать книгу бесплатно29,4 мб. djvu Скачать CD бесплатноCD - 8,98 мб.
SQL-инъекция. Оборона и нападение. Видео

Похожая литература