info@topschool.hu
(70) 361 71 38
Akkreditációs lajstromszám: AL-1975
Szakkönyvek

Web, Webmester

Grafika, 3D, Videó

Rendszergazda

Programozás, Adatbázis

ECDL, Irodai, Kezdő

Fotó, digitális fotó

DTP, Design

Rajz

Microsoft

Nyelv, informatikai nyelv

Hogyan törjünk fel webhelyeket

Az, hogy a hackerek könyörtelenül megtámadják majd webhelyeinket, webalkalmazásainkat és webszolgáltatásainkat, olyan elkerülhetetlen, mint a halál vagy az adók - ha pedig ilyen támadásoknak vagyunk kitéve, jobb ha még az előtt felderítjük a sebezhető pontokat, mielőtt a támadók rájuk lelnének. Ebben segít a webes alapú programok biztonsági tesztelésének alapkönyve: a Hogyan törjünk föl webhelyeket. A kötetben két elismert szakértő mutatja be a webes támadások valamennyi fajtáját, beleértve az ügyfelek és a kiszolgálók elleni, valamint az állapot és felhasználói bevitel alapú támadásokat, és így tovább. Ahogy tucatszámra ismerjük meg a webes architektúrák és kódolási megoldások széles körben ismert és kiaknázott súlyos hibáit, megtanuljuk a támadási módszereket, de azt is, hogy hol kell keresnünk a fenyegetést, miként állapíthatjuk meg szigorú teszteléssel, hogy milyen veszélyek állnak fenn, és hogy miként háríthatjuk el azokat.

A kötet tartalmából:

  • Az ügyfelek sebezhető pontjai, különös tekintettel az ügyféloldali hitelesítésre
  • Állapot alapú támadások: rejtett mezők, CGI-paraméterek, sütimérgezés, URL-átirányítás és munkamenet-eltérítés
  • Felhasználói bevitel alapú támadások: idegen kódok, SQL-befecskendezés és könyvtárbejárás
  • Nyelv és technológia alapú támadások: tártúlcsordulás előidézése, kanonizáció és NULL karakterláncok
  • A kiszolgálók sebezhető pontjai: SQL-befecskendezés tárolt eljárásokkal, parancs-befecskendezés és ujjlenyomatvétel a kiszolgálótól
  • Titkosítás, adatvédelem és a webszolgáltatások elleni támadások

Webes programjaink működése létfontosságú: nem tehetjük kockára a biztonságukat. Legyünk fejlesztők, tesztelők, QA-szakértők vagy IT-menedzserek, ez a kötet segít, hogy megvédjük őket - méghozzá tervszerűen.

Online könyv rendelés
Webshop ár: 3 980 Ft
Résztvevői ár: 3 000 Ft

Szerző: Mike Andrews, James A. Whittaker
Oldalszám: 256
Szint: haladó
Kiadó: Kiskapu Kiadó
ISBN: 9789639637245
Kiadás éve: 2007

1. fejezet A Web más
A fejezet tartalma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Bevezetés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
A Világháló . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
A Web utópiájának ára . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
A Web és az ügyfél–kiszolgáló rendszerek . . . . . . . . . . . . . . . . . . . . . . 6
Ellentétes célok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
A webalkalmazások hibamodellje . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
A webkiszolgáló . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
A webügyfél . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
A hálózat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Összefoglalás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2. fejezet Információk összegyûjtése a célpontról
A fejezet tartalma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Bevezetés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1. támadás: Aranymosás 14
Mikor alkalmazzuk ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Hogyan hajtsuk végre ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . 15
Hogyan védekezhetünk ez ellen a támadás ellen? . . . . . . . . . . . . . . . . 22
Mikor alkalmazzuk ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Hogyan hajtsuk végre ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . 23
2. támadás: Fájlok és könyvtárak kitalálása 23
Hogyan védekezhetünk ez ellen a támadás ellen? . . . . . . . . . . . . . . . . 27
Mikor alkalmazzuk ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
xvi Hogyan törjünk fel webhelyeket
3. támadás: Mások által hagyott lyukak – a mintaalkalmazások
sebezhetõ pontjai 28
Hogyan hajtsuk végre ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . 29
Hogyan védekezhetünk ez ellen a támadás ellen? . . . . . . . . . . . . . . . . 30
3. fejezet Támadás az ügyfél ellen
A fejezet tartalma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Bevezetés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4. támadás: A beviteli korlátozások megkerülése 33
Mikor alkalmazzuk ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Hogyan hajtsuk végre ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . 35
Hogyan védekezhetünk ez ellen a támadás ellen? . . . . . . . . . . . . . . . . 38
5. támadás: Az ügyféloldali ellenõrzés megkerülése 38
Mikor alkalmazzuk ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Hogyan hajtsuk végre ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . 40
Hogyan védekezhetünk ez ellen a támadás ellen? . . . . . . . . . . . . . . . . 42
A bemenet érvényességének ellenõrzése . . . . . . . . . . . . . . . . . 43
4. fejezet Állapot alapú támadások
A fejezet tartalma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Bevezetés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Mikor alkalmazzuk ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
6. támadás: Rejtett mezõk 47
Hogyan hajtsuk végre ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . 49
Hogyan védekezhetünk ez ellen a támadás ellen? . . . . . . . . . . . . . . . . 50
Mikor alkalmazzuk ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Tartalomjegyzék xvii
7. támadás: CGI-paraméterek 51
Hogyan hajtsuk végre ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . 52
Hogyan védekezhetünk ez ellen a támadás ellen? . . . . . . . . . . . . . . . . 55
A GET- és POST-paraméterek közötti különbség . . . . . . . . . . . 55
8. támadás: Sütimérgezés 56
Mikor alkalmazzuk ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Hogyan hajtsuk végre ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . 57
Hogyan védekezhetünk ez ellen a támadás ellen? . . . . . . . . . . . . . . . . 59
Mikor alkalmazzuk ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
9. támadás: URL-átugrás 60
Hogyan hajtsuk végre ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . 61
Hogyan védekezhetünk ez ellen a támadás ellen? . . . . . . . . . . . . . . . . 62
Mikor alkalmazzuk ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
10. támadás: Munkamenet-eltérítés 64
Hogyan hajtsuk végre ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . 65
Hogyan védekezhetünk ez ellen a támadás ellen? . . . . . . . . . . . . . . . . 67
Hivatkozások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
5. fejezet A felhasználó által megadott adatok
megtámadása
A fejezet tartalma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Bevezetés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
11. támadás: Idegen parancsok végrehajtása 72
Mikor alkalmazzuk ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Hogyan hajtsuk végre ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . 74
Hogyan védekezhetünk ez ellen a támadás ellen? . . . . . . . . . . . . . . . . 79
Mikor alkalmazzuk ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
xviii Hogyan törjünk fel webhelyeket
12. támadás: SQL-befecskendezés 81
Hogyan hajtsuk végre ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . 82
Hogyan védekezhetünk ez ellen a támadás ellen? . . . . . . . . . . . . . . . . 86
Mikor alkalmazzuk ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
13. támadás: Könyvtárbejárás 87
Hogyan hajtsuk végre ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . 88
Hogyan védekezhetünk ez ellen a támadás ellen? . . . . . . . . . . . . . . . . 89
6. fejezet Nyelvi támadások
A fejezet tartalma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Bevezetés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
14. támadás: Tártúlcsordulás elõidézése 92
Mikor alkalmazzuk ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Hogyan hajtsuk végre ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . 93
Hogyan védekezhetünk ez ellen a támadás ellen? . . . . . . . . . . . . . . . . 96
15. támadás: A kanonizáció hibáinak kihasználása 97
Mikor alkalmazzuk ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Hogyan hajtsuk végre ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . 99
Hogyan védekezhetünk ez ellen a támadás ellen? . . . . . . . . . . . . . . . 101
16. támadás: Null karakterláncok 101
Mikor alkalmazzuk ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Hogyan hajtsuk végre ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . 103
Hogyan védekezhetünk ez ellen a támadás ellen? . . . . . . . . . . . . . . . 103
Tartalomjegyzék xix
7. fejezet Támadás a kiszolgáló ellen
A fejezet tartalma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Bevezetés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Mikor alkalmazzuk ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . . 106
17. támadás: SQL-befecskendezés II – tárolt eljárások 106
Hogyan hajtsuk végre ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . 107
Hogyan védekezhetünk ez ellen a támadás ellen? . . . . . . . . . . . . . . . 108
Hogyan ellenõrizhetjük egy kód végrehajtását a kiszolgálón
anélkül, hogy bármit tönkretennénk:
a fordított visszhangkérés . . . . . . . . . . . . . . . . . . . . . . . . . . 109
18. támadás: Parancs-befecskendezés 110
Mikor alkalmazzuk ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Hogyan hajtsuk végre ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . 111
Hogyan védekezhetünk ez ellen a támadás ellen? . . . . . . . . . . . . . . . 112
19. támadás: Ujjlenyomatvétel a kiszolgálótól 112
Mikor alkalmazzuk ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Hogyan hajtsuk végre ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . 114
Hogyan védekezhetünk ez ellen a támadás ellen? . . . . . . . . . . . . . . . 118
Mikor alkalmazzuk ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . . 119
20. támadás: Elárásztás 119
Hogyan hajtsuk végre ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . 120
Hogyan védekezhetünk ez ellen a támadás ellen? . . . . . . . . . . . . . . . 120
Hivatkozások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
8. fejezet Hitelesítés
A fejezet tartalma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Bevezetés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
xx Hogyan törjünk fel webhelyeket
21. támadás: Hamis titkosítás 124
Mikor alkalmazzuk ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Hogyan hajtsuk végre ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . 125
Hogyan védekezhetünk ez ellen a támadás ellen? . . . . . . . . . . . . . . . 128
22. támadás: A hitelesítés feltörése 128
Mikor alkalmazzuk ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Hogyan hajtsuk végre ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . 131
Hogyan védekezhetünk ez ellen a támadás ellen? . . . . . . . . . . . . . . . 132
23. támadás: Webhelyek közötti nyomkövetés 134
Mikor alkalmazzuk ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . . 136
Hogyan hajtsuk végre ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . 137
Hogyan védekezhetünk ez ellen a támadás ellen? . . . . . . . . . . . . . . . 137
24. támadás: Gyenge titkosítás kikényszerítése 138
Mikor alkalmazzuk ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Hogyan hajtsuk végre ezt a támadást? . . . . . . . . . . . . . . . . . . . . . . . . 141
Hogyan védekezhetünk ez ellen a támadás ellen? . . . . . . . . . . . . . . . 142
Hivatkozások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
9. fejezet Adatvédelem
A fejezet tartalma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
Bevezetés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
Hálózati ügyfelek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
Hivatkozó . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Sütik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
Webpoloskák . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
Hozzáférés a vágólaphoz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Oldalak gyorstárazása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
ActiveX vezérlõk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
Böngészõ-segédobjektumok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Tartalomjegyzék xxi
10. fejezet Webszolgáltatások
A fejezet tartalma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
Bevezetés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
Mik azok a webszolgáltatások? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
XML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
SOAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
WSDL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
UDDI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Veszélyek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
WSDL-pásztázás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Paraméterhamisítás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
XPATH-befecskendezés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
Önhívó terheléses támadás . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Túlméretezéses támadás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
Külsõ egyed támadás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168


Kapcsolódó tanfolyamok: