![《Web漏洞搜索彼得·亚沃斯基著,恒安信雅书社译机械工业出版》[76M]百度网盘|pdf下载|亲测有效](/downpdf2/uploads/2024-01-20/f1898e89c9da7cf4.jpg "Web漏洞搜索彼得·亚沃斯基著,恒安信雅书社译机械工业出版")
Web漏洞搜索彼得·亚沃斯基著,恒安信雅书社译机械工业出版 pdf下载
8.99¥
10.99¥
内容简介
本篇主要提供Web漏洞搜索彼得·亚沃斯基著,恒安信雅书社译机械工业出版电子书的pdf版本下载,本电子书下载方式为百度网盘方式,点击以上按钮下单完成后即会通过邮件和网页的方式发货,有问题请联系邮箱ebook666@outlook.com
| 图书基本信息 | |||
| 图书名称 | Web漏洞搜索 | 作者 | [美]彼得·亚沃斯基(PeterYaworski)著,恒安信 |
| 定价 | 89元 | 出版社 | 机械工业出版社 |
| ISBN | 9787111691358 | 出版日期 | 2021-09-01 |
| 字数 | 页码 | 264 | |
| 版次 | 装帧 | 平装 | |
| 开本 | 16开 | 商品重量 | |
| 内容提要 | |
| 本书从道德黑客的角度出发,结合赏金漏洞实例,向读者介绍应如何处理应用程序中的漏洞,如何寻找赏金漏洞和提交方案报告。主要内容包括什么是漏洞和漏洞悬赏,如何在漏洞挖掘平台上挖掘开放式重定向漏洞、参数污染漏洞、跨站请求伪造漏洞、HTML注入和内容欺骗漏洞、回车换行注入漏洞、跨站脚本漏洞、模板注入漏洞、SQL注入漏洞、服务端请求伪造漏洞、内存漏洞、子域接管漏洞、不安全的直接对象引用漏洞、OAuth漏洞、应用程序逻辑和配置漏洞等,并提交给平台,进而对漏洞进行修复,以及如何获得漏洞奖金、漏洞报告如何编写等。 |
| 目录 | |
| 译者序 序言 前言 致谢 作者简介 技术审校者简介 章 漏洞悬赏入门1 11 漏洞和漏洞悬赏1 12 客户端和服务器端2 13 当你访问一个网址时发生了什么3 14 请求7 15 总结10 第2章 开放式重定向11 21 开放式重定向如何工作12 22 Shopify主题设置的开放式重定向漏洞14 23 Shopify 登录的开放式重定向漏洞14 24 HackerOne中间网页重定向漏洞16 25 总结18 第3章 参数污染19 31 服务器端 HPP19 32 客户端HPP22 33 HackerOne分享按钮23 34 Twitter取消订阅通知24 35 Twitter弹出窗口26 36 总结28 第4章 跨站请求伪造29 41 身份认证30 42 通过GET请求发起CSRF攻击32 43 通过POST请求发起CSRF攻击33 44 抵御CSRF攻击35 45 Shopify Twitter 断连接攻击37 46 改变用户的Instacart地区攻击38 47 Badoo全账号接管39 48 总结42 第5章 HTML注入和内容欺骗43 51 通过字符编码进行Coinbase评论注入攻击44 52 HackerOne非预期HTML包含漏洞46 53 HackerOne非预期HTML包含补丁绕过漏洞48 54 WithiSecurity内容欺骗漏洞49 55 总结51 第6章 回车换行注入52 61 请求夹带攻击53 62 vshopify响应分割攻击53 63 Twitter 响应分割攻击55 64 总结57 第7章 跨站脚本58 71 XSS的类型62 72 Shopify Wholesale XSS漏洞65 73 Shopify货币格式XSS漏洞67 74 雅虎邮件存储型XSS漏洞68 75 Google图像搜索XSS漏洞70 76 Google标签管理器存储型XSS漏洞71 77 联合航空网站XSS漏洞73 78 总结76 第8章 模板注入78 81 服务器端模板注入78 82 客户端模板注入79 83 Uber AngularJS模板注入80 84 Uber Flask Jinja2模板注入81 85 Rails动态呈现漏洞84 86 UnikrSmarty模板注入86 87 总结89 第9章 SQL注入90 91 SQL数据库90 92 防御SQLi92 93 雅虎体育盲SQLi93 94 Uber盲SQLi96 95 Drupal SQLi100 96 总结103 0章 服务器端请求伪造105 101 展示SSRF的影响105 102 调用 GET 与 POST 请求106 103 执行盲测 SSRF107 104 使用 SSRF 响应攻击用户108 105 ESEA SSRF 和 AWS 元数据请求108 106 Google内部 DNS SSRF111 107 使用Webhook进行内网端口扫描115 108 总结117 1章 XML外部实体118 111 XML118 1111 文档类型定义119 1112 XML 实体121 112 XXE攻击如何发挥作用122 113 读取Google的访问权限123 114 Facebook XXE Word漏洞124 115 Wikiloc XXE126 116 总结129 2章 远程代码执行130 121 执行Shell命令130 122 执行函数132 123 远程调用的升级策略133 124 Polyvore ImageMagick漏洞134 125 Algolia RCE 漏洞137 126 SSH RCE 漏洞139 127 总结141 3章 内存漏洞142 131 缓冲区溢出143 132 越界读取146 133 PHP ftp_genlist整数溢出漏洞147 134 PythoHotshot模块148 135 Libcurl越界读取149 136 总结150 4章 子域接管151 141 理解域名151 142 子域接管工作原理152 143 Ubiquiti的子域接管153 144 Scanme指向Zendesk154 145 Shopify Windsor子域接管155 146 Snapchat Fastly接管156 147 Legal Robot接管157 148 Uber SendGrid Mail接管158 149 总结160 5章 竞争条件161 151 多次接受同一个HackerOne邀请162 152 Keybase超过邀请数上限164 153 HackerOne付款竞争性条件165 154 Shopify合作伙伴竞争条件166 155 总结168 6章 不安全的直接对象引用169 161 查找简单的IDOR169 162 查找复杂的IDOR170 163 Binary 权限升级171 164 Moneybird 应用程序创建172 165 Twitter Mopub API Toke被盗174 166 ACME 客户信息泄露175 167 总结177 7章 OAuth漏洞178 171 OAuth工作流179 172 窃取Slack OAuth令牌182 173 使用默认密码通过身份验证183 174 窃取微软登录令牌184 175 刷Facebook官方访问令牌186 176 总结187 8章 应用程序逻辑和配置漏洞189 181 绕过Shopify管理员特权190 182 绕过Twitter账户保护192 183 HackerOne信号处理193 184 HackerOne不正确的S3 Bucket 权限194 185 绕过GitLab双重身份验证196 186 雅虎PHP的信息披露197 187 HackerOne Hacktivity投票199 188 访问PornHub的Memcache安装201 189 总结203< |
| 编辑推荐 | |
| 适读人群 :对漏洞挖掘感兴趣的读者;程序开发人员 这本书教你如何在漏洞赏金平台搜索漏洞、提交报告并获得赏金。 不管你是网页开发人员、网页设计师、全职、10岁的孩子还是75岁的退休人员,都适合阅读本书,但是拥有一些编程经验、熟悉网络技术会更有助于理解书中内容。 |
![《Photoshop淘宝网店设计与装修完全实例教程》[47M]百度网盘|pdf下载|亲测有效](/downpdf2/uploads/s1/5a6e9c40N5a03f621.jpg)
![《奇妙的化学元素全新修订版这就是化学实验教程初中物理和高中物理辅助读物科普书神奇的化学元素化学就是这么奇妙化学元素》[77M]百度网盘|pdf下载|亲测有效](/downpdf2/uploads/2024-01-20/d60eb097057b12a3.jpg)
![《基于Linux的企业自动化实践:服务器的构建、部署与管理》[43M]百度网盘|pdf下载|亲测有效](/downpdf2/uploads/2024-01-20/4c9655193bbd477f.jpg)
![《R-演算:一种信念修正的逻辑(R-Calculus:Alogicofbelie》[89M]百度网盘|pdf下载|亲测有效](/downpdf2/uploads/2024-01-20/4c38ff64e053183f.jpg)