کتاب Attacking and Exploiting Modern Web Applications

کتاب Attacking and Exploiting Modern Web Applications: Discover the mindset, techniques, and tools to perform modern web attacks and exploitation (حمله و بهره‌برداری از برنامه‌های کاربردی وب مدرن: ذهنیت، تکنیک‌ها و ابزارهای انجام حملات و بهره برداری از وب مدرن را کشف کنید.) 

در ادامه مقدمه‌ای از کتاب Attacking and Exploiting Modern Web Applications را از زبان نویسنده شرح خواهیم داد.

مقدمه‌ای بر کتاب Attacking and Exploiting Modern Web Applications:

چرا نیاز به کتاب دیگری در مورد حملات وب و بهره برداری وجود دارد؟ بیش از دو دهه از زمانی می‌گذرد که جف “توله سگ بارانی” Forristal اولین بار در سال 1998 در مورد تزریق SQL ناشناخته در مجله الکترونیکی معروف Phrack در سال 1998 بحث کرد.

وب نقش مهمی در زندگی روزمره و عملیات تجاری ما دارد. از صفحات وب استاتیک به عصر محتوای تولید شده توسط کاربر معروف به وب 2.0 پیشرفت کرده است و اکنون وب 3.0 را داریم، وب غیرمتمرکز که بر اساس فناوری بلاک چین عمل می‌کند.

با توجه به اینکه از همان ابتدا درگیر امنیت برنامه‌های وب بوده‌ایم، ارزیابی وضعیت فعلی حملات و بهره برداری از آسیب‌پذیری‌های وب برای ما جذاب است. همانطور که توسط OWASP TOP 10 پیشنهاد شده است، ماهیت این آسیب‌پذیری‌ها نسبتاً ثابت است، اگرچه ویژگی‌های خاص آنها تکامل می‌یابد.

بررسی اینکه چگونه تهدیدات پایدار پیشرفته (APT) اغلب از حملات وب برای دسترسی اولیه و تداوم استفاده می‌کنند، جالب است – نقشه‌برداری آنها با استفاده از MITER ATT&CK.

کتاب Attacking and Exploiting Modern Web Applications درک عمیقی از روش‌های هکرها برای حملات وب و بهره‌برداری ارائه می‌کند و برخی از Capture Flags (CTF) که ایجاد کرده‌ایم و چندین آسیب‌پذیری و قرار گرفتن در معرض رایج (CVE) که کشف کرده‌ایم را تجزیه و تحلیل می‌کند. بخش اول به شما کمک می‌کند تا متدولوژی‌ها و چارچوب‌ها، نحوه پیکربندی آزمایشگاه تحقیقاتی خود و نحوه خودکارسازی وظایف با Bash و Python را درک کنید.

بخش دوم و سوم شما را از طریق مثال‌های عملی با استفاده از تجزیه و تحلیل پویا، تجزیه و تحلیل کد منبع، معکوس کردن باینری‌ها، اشکال‌زدایی و ابزار دقیق راهنمایی می‌کند. در هر فصل، مقدمه‌ای مختصر در مورد اصول اولیه هر فناوری خاص، آسیب‌پذیری و خطر را خواهید یافت. سپس، دستورالعمل‌های گام به گام را برای کشف و بهره‌برداری از آسیب‌پذیری‌ها ارائه می‌کنیم.

در بخش دوم، مروری بر آسیب‌پذیری‌های همیشه سبز در احراز هویت با استفاده از یک مورد در SAML، تزریق SQL و اسکریپت بین سایتی (XSS) در وردپرس، و Command Injection و Path Traversal در دستگاه‌های اینترنت اشیا (IoT) خواهید داشت. و سپس بر تجزیه و تحلیل کد منبع و معکوس کردن باینری‌ها تمرکز خواهیم کرد.

در قسمت سوم، آسیب‌پذیری‌هایی را در زمینه‌های جدیدتر، تبدیل XSS به اجرای کد از راه دور (RCE)، تجزیه و تحلیل برنامه‌های جاوا اسکریپت الکترون و بهره‌برداری از Reentrancy معروف هنگام ممیزی قرارداد هوشمند اتریوم که در Solidity نوشته شده است، خواهید دید. پس از مطالعه این کتاب، مهارت‌های خود را در شناسایی و استفاده از آسیب‌پذیری‌های وب و درک پیامدهای افشای اطلاعات افزایش خواهید داد.

کتاب Attacking and Exploiting Modern Web Applications برای چه کسی است؟

هدف این کتاب هر کسی است که باید امنیت سازمان خود را تضمین کند. این برای تست‌کنندگان نفوذ و تیم‌های قرمز است که می‌خواهند دانش خود را در مورد چالش‌های امنیتی فعلی برای برنامه‌های کاربردی وب، توسعه‌دهندگان و مهندسان DevOps که می‌خواهند وارد ذهنیت مهاجمان شوند، و مدیران امنیتی و افسران ارشد امنیت اطلاعات (CISO) که می‌خواهند تعمیق کنند. درک واقعی تأثیر و خطر قراردادهای وب، اینترنت اشیا و هوشمند از دیدگاه مهاجمان.

چگونه کتاب Attacking and Exploiting Modern Web Applications را بخوانیم؟

اگر مبتدی هستید توصیه می‌کنیم فصل‌های مختلف را به ترتیب بخوانید. اگر با حملات وب و بهره برداری آشنا هستید یا ترجیح می‌دهید مستقیماً به تمرینات عملی بروید، می‌توانید مستقیماً قسمت‌های 2 و 3 را بخوانید و قسمت 1 را مرور کنید. اگر مدیر امنیتی یا CISO هستید، کتاب Attacking and Exploiting Modern Web Applications می‌تواند به شما کمک کند تا با مهاجمان آشنا شوید. ذهنیت، اما شما می توانید بر روی بخش‌های اختصاص داده شده به شما تمرکز کنید. اگر در عوض به موضوع خاصی علاقه دارید، هر سناریو با خود سازگار است، بنابراین می‌توانید مستقیماً به قسمت مورد علاقه خود بروید.

آنچه کتاب Attacking and Exploiting Modern Web Applications پوشش می‌دهد:

فصل 1، ذهنیت و روش‌شناسی، مروری بر طرز فکر و اصول راهنمایی برای حملات، فرآیند یادگیری، مجموعه مهارت‌ها، تکنیک‌های بهره‌برداری و روش‌هایی که می‌توان برای حمله به برنامه‌های کاربردی وب استفاده کرد، ارائه می‌کند.

فصل 2، مجموعه ابزار برای حملات وب و بهره برداری، ابزارهای موجود برای حمله به برنامه‌های کاربردی وب مانند سیستم عامل‌ها، مرورگرها، پراکسی‌های رهگیری، Bash و Python را با پخش CTF توضیح می‌دهد.

فصل 3، حمله به لایه احراز هویت – یک مورد استفاده SAML، شامل اولین سناریویی است که ما دوباره از طریق تمرین CTF تجزیه و تحلیل خواهیم کرد، جایی که ما یاد می‌گیریم از سیستم‌های احراز هویت، به ویژه SAML، از طریق Burp استفاده کنیم.

فصل 4 کتاب Attacking and Exploiting Modern Web Applications، حمله به برنامه‌های کاربردی وب در مواجهه با اینترنت – تزریق SQL و اسکریپت بین سایتی (XSS) در وردپرس، سناریوی دیگری را بررسی می‌کند که در آن دو CVE را با هم پیدا خواهیم کرد. ما یک تزریق SQL را با خواندن کد منبع یک افزونه وردپرس و بهره‌برداری از آن ابتدا به صورت دستی با Burp و سپس با پایتون پیدا خواهیم کرد. ما همچنین یک XSS پیدا خواهیم کرد.

فصل 5، حمله به دستگاه‌های اینترنت اشیا – تزریق فرمان و پیمایش مسیر، سناریویی را بررسی می‌کند که در آن یک دستگاه اینترنت اشیا را تجزیه و تحلیل می‌کنیم، از میان‌افزار شروع می‌کنیم، آن را شبیه‌سازی می‌کنیم و چهار CVE مربوط به تزریق فرمان را با دور زدن برخی از ویژگی‌های امنیتی پیدا می‌کنیم. ما همچنین تعدادی از باینری های موجود در دستگاه را با هم مهندسی معکوس خواهیم کرد. مقدمه x

فصل 6 کتاب Attacking and Exploiting Modern Web Applications، حمله به برنامه‌های جاوا اسکریپت الکترونی – از اسکریپت بین سایتی (XSS) تا اجرای فرمان از راه دور (RCE)، به سناریویی می‌پردازد که در آن ما یک برنامه جاوا اسکریپت الکترون را که روزانه استفاده می‌کنیم، تجزیه و تحلیل می‌کنیم و نحوه ابزارسازی و اشکال‌زدایی آن را دریابیم. ما یک CVE مربوط به XSS را پیدا می‌کنیم که سپس آن را به RCE تبدیل می‌کنیم.

فصل 7 کتاب Attacking and Exploiting Modern Web Applications، حمله به قراردادهای هوشمند اتریوم – ورود مجدد، منابع ضعیف تصادفی، و منطق تجاری، آخرین سناریو را ارائه می‌دهد. این به عنوان یک تمرین CTF ساختار یافته است، که در آن قراردادهای هوشمند را در اتریوم تجزیه و تحلیل می‌کنیم، آنها را برگردانیم، و با نوشتن یک قرارداد هجومی با Solidity و Foundry از چندین آسیب‌پذیری منطق تجاری و ورود مجدد معروف استفاده می‌کنیم.

فصل 8، ادامه سفر کشف اسیب‌پذیری، با تأمل در مورد آنچه در فصل‌های قبلی آموختیم به پایان می‌رسد. در مورد اسیب‌پذیری های خاص و به طور کلی، بیشتر در مورد روش‌های مورد استفاده وجود ندارد. ما همچنین به معضل افشای اسیب‌پذیری از دیدگاه محقق و CISO اشاره خواهیم کرد.

سرفصل‌های کتاب Attacking and Exploiting Modern Web Applications:

• Cover
• Title Page
• Copyright and Credits
• Dedication
• Foreword
• Contributors
• Table of Contents
• Part 1: Attack Preparation
  • Chapter 1: Mindset and Methodologies
  • Chapter 2: Toolset for Web Attacks and Exploitation
• Part 2: Evergreen Attacks
  • Chapter 3: Attacking the Authentication Layer – a SAML Use Case
  • Chapter 4: Attacking Internet-Facing Web Applications – SQL Injection and Cross-Site Scripting (XSS) on WordPress
  • Chapter 5: Attacking IoT Devices – Command Injection and Path Traversal
• Part 3: Novel Attacks
  • Chapter 6: Attacking Electron JavaScript Applications – from Cross-Site Scripting (XSS) to Remote Command Execution (RCE)
  • Chapter 7: Attacking Ethereum Smart Contracts – Reentrancy, Weak Sources of Randomness, and Business Logic
  • Chapter 8: Continuing the Journey of Vulnerability Discovery
• Index
• Other Books You May Enjoy

جهت دانلود کتاب Attacking and Exploiting Modern Web Applications می‌توانید پس از پرداخت، دریافت کنید.