معرفی و دانلود کتاب The Web Application Hacker’s Handbook – قوی ترین کتاب هک و تست نفوذ وب

0 89
۵/۵ - (۶ امتیاز)

در بخش کتاب های آموزش های تست نفوذ کتابخانه آکادمی ترجنس به سراغ قفسه آموزش هک و تست نفوذ وب می رویم و یکی از بهترین و جامع ترین کتاب های آموزش هک و تست نفوذ وب یعنی کتاب The Web Application Hacker’s Handbook (راهنمای هکرهای وب) را انتخاب می کنیم و این کتاب ارزشمند را به صورت رایگان در اختیار همراهان عزیز قرار می دهیم.

هک و تست نفوذ وب (Web Penetration Testing & Hacking)

افرادی که علاقمند به هک و امنیت، مخصوصا تست نفوذ هستند بسیار سوال می کنند که تست نفوذ را باید از کجا شروع کرد؟! قبلا مقاله ای به صورت عمومی برای یک پاسخ عمومی به این سوال در مقاله نقشه راه هک و امنیت ارائه شد. در آن مقاله خاصا به تست نفوذ پرداخته نشده اما مسیر کلی که یک متخصص امنیت یا هکر باید طی کند را ارائه کردیم. خاصا برای تست نفوذ مکررا سوال می شود که بهتر است با چه تست نفوذی شروع کنیم؟! وب؟ شبکه؟ نرم افزار؟ پاسخ به این سوال به عوامل مختلفی بستگی دارد. اگر بخواهیم به ساده ترین شکل ممکن به این سوال پاسخ دهیم باید بگوییم که تست نفوذ وب ساده تر و البته زود بازده تر است. این سادگی هم در مباحثی که باید بیاموزید خود را نشان می دهد و هم در زمانی که به باید برای صرف یاد گرفتن آن در نظر بگیرید. عموما افرادی که قصد دارن زودتر وارد بازار کار شوند از وب شروع می کنند که البته شخصا موافق این موضوع نیستم اما واقعا یادگیری تست نفوذ وب هم ساده است و هم در زمان کمی قابل دستیابی می باشد. دقت کنید کلیه جملاتی که می نویسم با فرض این است که شما فردی نیستید که به دنبال تست خودکار باشند و قصد دارید وجه تمایزی با متخصص نماها داشته باشید.
اگر بخواهیم در رابطه با بازار کار و شیوه عمل در تست نفوذ وب صحبت کنیم باید بگوییم اساسا تست نفوذ وب از مراحل مختلفی طبعیت می کند. مولفه هایی که بر پایه وب عمل می کنند (همچنین پروتکل های لایه کاربرد مثل HTTP که مربوط به وب هستند) دارای آسیب پذیری هایی هستند. این آسیب پذیری ها عموما ریشه در پیاده سازی دارند. برای مثال توسعه دهنده ای که یک وب سایت طراحی می کند و در بخشی از آن از کاربر ورودی دریافت می کند، اگر ورودی های مخرب را در نظر نگیرد و از سطوح مناسب اعتبارسنجی استفاده نکند ممکن است وب سایت نسبت به XSS یا SQL Injection و برخی موارد دیگر آسیب پذیر شود. اگر نگاهی به آسیب پذیری های برنامه های تحت وب بیندازیم متوجه می شویم که دست یک متخصص تست نفوذ برای تست کاملا باز است. تست بیشتر آن ها هم پیچیده نیست (البته این سطح پیچیدگی بستگی به هدف شما دارد! برای مثال ممکن است شما XSS را صرفا با پیلودهای ساده تست کنید یا ممکن است تکنیک های اغوای اعتبارسنجی را نیز تست کنید). عموما متخصصان ابتدا به سراغ ۱۰ آسیب پذیری رایج (که توسط OWASP رتبه بندی می شوند) می روند و پس از آن موارد باقی مانده را تست می کنند (برخی کارفرماها به تست همین همین ۱۰ مورد اکتفا می کنند و از متخصص می خواهند تا موارد دیگر را تست نکند).
اما بسیار پیش می آید که در تست نفوذ وب شما باید مولفه ها مرتبط مثل وب سرور، WAF، IDS و… را هم تست کنید. برای مثال کارفرما می گوید ما یک WAF راه اندازی کرده ایم و می خواهیم ببینیم این WAF چقدر در مقابل حملات موثر است. یا یک IDS وجود دارد که برخی درخواست ها را بلاک می کند. شما باید تست کنید که آیا می توان این مولفه ها را دور زد یا خیر. نکته دیگری که اهمیت دارد این است که در یک تست نفوذ وب قوی باید موتورهای رمزنگاری (برای مثال تولید سشن) نیز باید تست شوند و بنابراین دانش رمزنگاری و خصوصا تحلیل رمز از اهمیت ویژه ای برخوردار است.

کتاب راهنمای هکر وب – The Web Application Hacker’s Handbook

برخی از کتاب ها مثل کتاب آقای اشنایر در رمزنگاری به عنوان یک پدیده آموزشی برای یک حوزه هستند. شاید بتوان گفت کتاب The Web Application Hacker’s Handbook در هک و تست نفوذ وب متناظر با کتاب آقای اشنایر در رمزنگاری است. یعنی این کتاب را می توان در زمینه هک و تست نفوذ وب یک پدیده آموزشی در نظر گرفت. آقای دفید استاتارد (Dafydd Stuttard) و مارکوس پینتو (Marcus Pinto) در سال ۲۰۱۱ ویرایش دوم این کتاب را منتشر کردند که هنوز که هنوز است این کتاب از تازگی و قوت فراوانی برخوردار است. این دو نفر ارائه های متعددی در کنفرانس Black Hat و کنفرانس های بزرگ دیگری داشته اند. آخرین ویرایش این کتاب هم همان ویرایش دوم آن و مربوط به سال ۲۰۱۱ است اما با توجه به اینکه تست نفوذ نیاز به یک آموزش پویا بر اساس پژوهش های روز طلب می کند، ادامه این حرکت به Portswigger انتقال یافت. آقای استاتارد که موسس Portswigger هستند این حرکت بزرگ را به همراهی پژوهشگران بزرگ دیگر ادامه دادند. به جرات می توان گفت کسانی که در Portswigger فعالیت می کنند افرادی هستند که وب را با گوشت و پوست خود لمس کرده و آن را کاملا شناخته اند. آقای استاتارد (نویسنده اصلی کتاب) توسعه دهنده ابزار برپ سوئیت (Burp Suite) نیز هستند.
کتاب راهنمای هکر وب دارای سرفصل های جامعی است که در جدول زیر آن ها را مشاهده می کنیم:

امنیت (ناامنی) برنامه های تحت وبWeb Application (In)security
مکانیزم های دفاعی اصلیCore Defense Mechanism
فناوری های برنامه های تحت وبWeb Application Technologies
نقشه برداری برنامهMapping the Application
کنار زدن (بایپس کردن) کنترل های سمت کلاینتBypassing Client-Side Controls
حمله به احراز هویتAttacking Authentication
حمله به مدیریت نشستAttacking Session Management
حمله کنترل دسترسیAttacking Access Control
حمله به ذخیره سازهای دادهAttacking Data Stores
حمله به مولفه های Back-EndAttacking Back-End Components
حمله به منطق برنامهAttacking Application Logic
حمله به کاربران: Cross-Site ScriptingAttacking Users: Cross-Site Scripting
حمله به کاربران: تکنیک های دیگرAttacking Users: Other Techniques
خودکاری سازی حملات سفارشی شدهAutomating Customized Attacks
بهره برداری (اکسپلویت کردن) از افشای اطلاعاتExploiting Information Disclosure
حمله به برنامه های کامپایل شده NativeAttacking Native Compiled Applications
حمله به معماری برنامهAttacking Application Architecture
حمله به سرور برنامهAttacking the Application Server
پیدا کردن آسیب پذیری در منبع کد (سورس کد)Finding Vulnerabilities in Source Code
یک ابزار برای هکر برنامه های تحت وبA Web Application Hacker’s Toolkit
یک متدولوژی برای هکر برنامه های تحت وبA Web Application Hacker’s Methodology

این کتاب مناسب چه کسانی است؟

این کتاب تقریبا به صورت پایه ای آموزش را شروع می کند و می تواند برای افراد مبتدی تا حرفه ای مناسب باشد. افراد حرفه ای می توانند متدولوژی ارائه شده و همچنین مباحث پیشرفته تر مثل حمله به رمز را به منظور مرور یا یادگیری مطالعه کنند. در مورد افراد مبتدی هم باید بگویم که ذات امنیت به طور کلی در ساده ترین حالات نیز نیاز به پیش نیازهایی دارد. بهتر است قبل شروع این کتاب مباحث پایه وب مثل پروتکل ها، وب سرور و… را مطالعه کنید اما به هر حال شروع این کتاب برای کلیه افراد که تجربه ای در کامپیوتر داشته باشند مقدور است و دانش پیش نیاز روی سرعت مطالعه تاثیرگذار است.


اطلاعات و دانلود کتاب راهنمای هکر وب اپلیکیشن – The Web Application Hacker’s Handbook

نام کتابراهنمای هکر وب اپلیکیشن |‌ The Web Application Hacker’s Handbook
نویسندهدفید استاتارد و مارکوس پینتو |‌ Dafydd Stuttard & Marcus Pinto
تاریخ انتشار | ویرایشسپتامبر ۲۰۱۱ |‌ September 2011
سطح کتابمقدماتی تا پیشرفته
حجم فایل۱۵ مگابایت
لینک دانلوددانلود کتاب The Application Hacker’s Handbook

درباره ما

ترجنس | thregence.ir
آکادمی ترجنس | edu.thregence.ir
دوره‌های آکادمی ترجنس | courses.thregence.ir
اینستاگرام | instagram.com/thregence
تلگرام | t.me/thregence
یوتوب | https://bit.ly/30mGowo
آپارات | aparat.com/thregence

ارسال یک پاسخ