SPIS TREŚCI

• Hackowanie przeglądarki

• Sieci Neuronowe w C++

• Abecadło Shellcodera

• Android Studio

• iOS 15

• Programowanie iOS 15

• Co każdy Programista Javy wiedzieć powinien

• Co każdy Programista wiedzieć powinien

• Inżynier Danych prawdę Ci powie

• F.A.Q.




Podręcznik hakera aplikacji internetowych

Część 1  "(nie)zabezpieczenie aplikacji internetowych" : opisuje obecny stan zabezpieczeń aplikacji internetowych w Internecie. Pomimo powszechnych zapewnień, większość aplikacji jest niepewna i może zostać w jakiś sposób skompromitowana przy skromnym poziomie umiejętności. Luki w aplikacjach internetowych wynikają z jednego podstawowego problemu: użytkownicy mogą wprowadzać dowolne dane wejściowe. Omówimy kluczowe czynniki, które przyczyniają się do słabego stanu bezpieczeństwa współczesnych aplikacji. Opisuje również, w jaki sposób defekty w aplikacjach internetowych mogą narazić szerszą infrastrukturę techniczną organizacji na bardzo podatną na ataki.

Część 2 , "Podstawowe mechanizmy obronne" : opisuje kluczowe mechanizmy bezpieczeństwa stosowane przez aplkacje internetowe w celu rozwiązania podstawowego problemu, jakim jest niezaufanie wszystkich danych wprowadzanych przez użytkownika. Te mechanizmy są środkiem, za pomocą którego aplikacja zarządza dostępem użytkownika, obsługuje dane wejściowe użytkownika i reaguje na atakujących. Mechanizmy te obejmują również funkcje udostępniane administratorom do zarządzania i monitorowania samej aplikacji. Podstawowe mechanizmy bezpieczeństwa aplikacji reprezentują również jej główną powierzchnię ataku, więc musisz zrozumieć, jak te mechanizmy mają działać, zanim będziesz mógł je skutecznie zaatakować.

Część 3 "Technologie aplikacji internetowych" : jest krótkim wprowadzeniem do kluczowych technologii, z którymi możesz się spotkać podczas atakowania aplikacji internetowych. Obejmuje wszystkie istotne aspekty protokołu HTTP, technologie powszechnie używane po stronie klienta i serwera oraz różne schematy używane do kodowania danych. Jeśli znasz już główne technologie sieciowe, możesz przejrzeć tą część.

Część 4  "Mapowanie aplikacji" : opisuje pierwsze ćwiczenie, które należy wykonać, gdy atakujesz nową aplikację - zebranie jak największej ilości informacji w celu zmapowania powierzchni ataku i sformułowania planu ataku. Proces ten obejmuje eksplorację i sondowanie aplikacji w celu skatalogowania całej jej zawartości i funkcjonalności, identyfikację wszystkich punktów wejścia dla danych wejściowych użytkownika oraz wykrywanie używanych technologii.

Część 5  "Omijanie kontroli po stronie klienta" : obejmuje pierwszy obszar rzeczywistej luki w zabezpieczeniach, która pojawia się, gdy aplikacja polega na mechanizmach kontroli zaimplementowanych po stronie klienta w celu zapewnienia bezpieczeństwa. Takie podejście zwykle jest wadliwe, ponieważ można oczywiście obejść wszelkie kontrole po stronie klienta. Dwa główne sposoby, w jakie aplikacje stają się podatne na ataki, to przesyłanie danych przez klienta przy założeniu, że nie zostaną one zmodyfikowane, oraz poleganie na sprawdzaniu danych wejściowych użytkownika po stronie klienta. W tym rozdziale opisano szereg interesujących technologii, w tym lekkie kontrolki zaimplementowane w HTML, HTTP i JavaScript oraz bardziej zaawansowane kontrolki wykorzystujące aplety Java, kontrolki ActiveX, obiekty Silverlight i Flash.

Część 6  "Atak na uwierzytelnianie" : analizuje różne funkcje, dzięki którym aplikacje uzyskują pewność tożsamości swoich użytkowników. Obejmuje to główną funkcję logowania, a także funkcje związane z uwierzytelnianiem urządzeń peryferyjnych, takie jak rejestracja użytkownika, zmiana hasła i odzyskiwanie konta. Mechanizmy uwierzytelniania zawierają wiele różnych luk, zarówno w projekcie, jak i implementacji, które atakujący może wykorzystać w celu uzyskania nieautoryzowanego dostępu. Obejmują one od oczywistych wad, takich jak złe hasła i podatność na ataki typu brute-force, po bardziej niejasne problemy w logice uwierzytelniania. Badamy również szczegółowo typy wieloetapowych mechanizmów logowania używanych w wielu aplikacjach o krytycznym znaczeniu dla bezpieczeństwa i opisujemy nowe rodzaje luk w zabezpieczeniach, które często zawierają.

Część 7  "Zarządzanie sesją atakowania" : analizuje mechanizm, za pomocą którego większość aplikacji uzupełnia bezstanowy protokół HTTP o koncepcję sesji stanowej, umożliwiając im jednoznaczną identyfikację każdego użytkownika w kilku różnych żądaniach. Mechanizm ten jest kluczowym celem, gdy atakujesz aplikację internetową, ponieważ jeśli uda ci się ją złamać, możesz skutecznie ominąć logowanie i podszywać się pod innych użytkowników bez znajomości ich danych uwierzytelniających. Przyglądamy się różnym typowym defektom w generowaniu i przesyłaniu tokenów sesji i opisujemy kroki, które można podjąć, aby je wykryć i wykorzystać.

Część 8  "Atakowanie kontroli dostępu" : przedstawia sposoby, w jakie aplikacje faktycznie wymuszają kontrolę dostępu, opierając się w tym celu na mechanizmach uwierzytelniania i zarządzania sesjami. Opisujemy różne sposoby łamania kontroli dostępu oraz sposoby wykrywania i wykorzystywania tych słabości.

Część 9  "Atakowanie magazynów danych" : rozpoczyna się od szczegółowego zbadania podatności na wstrzykiwanie SQL. Obejmuje pełen zakres ataków, od najbardziej oczywistych i trywialnych po zaawansowane techniki eksploatacji obejmujące kanały pozapasmowe, wnioskowanie i opóźnienia czasowe. Dla każdego rodzaju luki i techniki ataku opisujemy istotne różnice między trzema popularnymi typami baz danych: MS-SQL, Oracle i MySQL. Następnie przyjrzymy się szeregowi podobnych ataków na inne magazyny danych, w tym NoSQL, XPath i LDAP.

Część 10  "Atak na komponenty zaplecza" : opisuje kilka innych kategorii luk w zabezpieczeniach, w tym wstrzykiwanie poleceń systemu operacyjnego, wstrzykiwanie do języków skryptów internetowych, ataki z przechodzeniem ścieżek plików, luki w zabezpieczeniach dołączania plików, wstrzykiwanie do XML, SOAP, zakończenie żądań HTTP i usługi poczty e-mail.

Część 11  "Atak na logikę aplikacji" : analizuje istotny i często pomijany obszar powierzchni ataku każdej aplikacji: wewnętrzną logikę, która jest wykorzystywana do implementacji jej funkcjonalności. Defekty w logice aplikacji są niezwykle zróżnicowane i trudniej je scharakteryzować niż typowe luki, takie jak wstrzyknięcie SQL i skrypty między witrynami. Z tego powodu przedstawiamy serię rzeczywistych przykładów, w których wadliwa logika naraziła aplikację na niebezpieczeństwo. Ilustrują one różnorodność błędnych założeń, które przyjmują projektanci i programiści aplikacji. Z tych różnych indywidualnych wad wyprowadzamy serię konkretnych testów, które można przeprowadzić w celu zlokalizowania wielu rodzajów błędów logicznych, które często pozostają niewykryte.

Część 12  "Atakowanie użytkowników : Cross-Site Scripting" : analizuje najbardziej widoczną lukę tego rodzaju - ogromnie powszechną lukę, która ma wpływ na ogromną większość aplikacji internetowych w Internecie. Szczegółowo badamy różne rodzaje luk XSS i opisujemy skuteczną metodologię wykrywania i wykorzystywania nawet najbardziej niejasnych ich przejawów.

Część 13  "Atakowanie użytkowników: inne techniki" : omawia kilka innych rodzajów ataków na innych użytkowników, w tym wywoływanie działań użytkownika poprzez fałszowanie żądań i odzyskiwanie interfejsu użytkownika, przechwytywanie danych między domenami przy użyciu różnych technologii po stronie klienta, różne ataki na te same zasady pochodzenia, wstrzykiwanie nagłówka HTTP, wstrzykiwanie plików cookie i utrwalanie sesji, otwarte przekierowanie, wstrzykiwanie SQL po stronie klienta, lokalne ataki na prywatność i wykorzystywanie błędów w formantach ActiveX. Rozdział kończy się omówieniem szeregu ataków na użytkowników, które nie są zależne od luk w żadnej konkretnej aplikacji internetowej, ale mogą zostać przeprowadzone za pośrednictwem dowolnej złośliwej witryny internetowej lub odpowiednio ustawionego atakującego.

Część 14  "Automatyzacja ataków dostosowanych" : nie wprowadza żadnych nowych kategorii luk w zabezpieczeniach. Zamiast tego opisuje kluczową technikę, którą musisz opanować, aby skutecznie atakować aplikacje internetowe. Ponieważ każda aplikacja internetowa jest inna, większość ataków jest w jakiś sposób dostosowywana, dostosowana do konkretnego zachowania aplikacji i odkrytych sposobów manipulowania nią na swoją korzyść. Często wymagają też wysłania dużej liczby podobnych żądań i monitorowania odpowiedzi aplikacji. Ręczne wykonywanie tych żądań jest niezwykle pracochłonne i podatne na błędy. Aby stać się naprawdę doświadczonym hakerem aplikacji internetowych, musisz zautomatyzować jak najwięcej tej pracy, aby niestandardowe ataki były łatwiejsze, szybsze i skuteczniejsze. Tu szczegółowo opisano sprawdzoną metodologię osiągnięcia tego celu. Badamy również różne typowe bariery w korzystaniu z automatyzacji, w tym obronne mechanizmy obsługi sesji i kontrole CAPTCHA. Ponadto opisujemy narzędzia i techniki, których możesz użyć do pokonania tych barier.

Część 15  "Wykorzystywanie ujawniania informacji" : omawia różne sposoby, w jakie aplikacje ujawniają informacje podczas aktywnego ataku. Kiedy przeprowadzasz wszystkie inne rodzaje ataków opisane tu, powinieneś zawsze monitorować aplikację, aby zidentyfikować dalsze źródła ujawnienia informacji, które możesz wykorzystać. Opisujemy, w jaki sposób można zbadać nietypowe zachowanie i komunikaty o błędach, aby lepiej zrozumieć wewnętrzne działanie aplikacji i dostroić atak. Omówimy również sposoby manipulowania wadliwą obsługą błędów w celu systematycznego pobierania poufnych informacji z aplikacji.

Część 16,  "Atakowanie aplikacji skompilowanych natywnie" : omawia zestaw ważnych luk w zabezpieczeniach, które pojawiają się w aplikacjach napisanych w natywnych językach kodu, takich jak C i C++. Te luki obejmują przepełnienia bufora, luki związane z liczbami całkowitymi oraz wady ciągu formatującego. Ponieważ jest to potencjalnie obszerny temat, skupiamy się na sposobach wykrywania tych luk w aplikacjach internetowych i przyglądamy się kilku rzeczywistym przykładom ich powstawania i wykorzystywania.

Część 17  "Atak na architekturę aplikacji" : omawia ważny, często pomijany obszar bezpieczeństwa aplikacji internetowych. Wiele aplikacji wykorzystuje architekturę warstwową. Niepowodzenie w prawidłowym oddzieleniu różnych warstw często powoduje, że aplikacja jest podatna na ataki, co umożliwia osobie atakującej, która znalazła defekt w jednym komponencie, szybkie złamanie zabezpieczeń całej aplikacji. W środowiskach współdzielonych hostingu pojawia się inny zakres zagrożeń, w których defekty lub złośliwy kod w jednej aplikacji mogą czasami zostać wykorzystane do naruszenia samego środowiska i innych działających w nim aplikacji. Przyjrzymy się również szeregowi zagrożeń, które pojawiają się w rodzajach współdzielonych środowisk hostingowych, które stały się znane jako "przetwarzanie w chmurze".

Część 18  "Atakowanie serwera aplikacji" : opisuje różne sposoby, w jakie można zaatakować aplikację sieciową, atakując serwer sieciowy, na którym jest uruchomiona. Luki w serwerach sieci Web składają się w dużej mierze z wad w ich konfiguracji i luk w zabezpieczeniach oprogramowania serwera sieci Web. Ten temat znajduje się na granicy tematów poruszanych w tej książce, ponieważ serwer WWW jest zupełnie innym elementem stosu technologicznego. Jednak większość aplikacji internetowych jest ściśle powiązana z serwerem sieciowym, na którym działają. Dlatego też w książce uwzględniono ataki na serwer sieciowy, ponieważ często można ich użyć do bezpośredniego złamania zabezpieczeń aplikacji, a nie pośredniego, polegającego na pierwszym złamaniu podstawowego hosta.

Część 19  "Znajdowanie luk w kodzie źródłowym" : opisuje zupełnie inne podejście do znajdowania luk w zabezpieczeniach niż te opisane w innych miejscach. W wielu sytuacjach możliwe jest przejrzenie kodu źródłowego aplikacji, z których nie wszystkie wymagają współpracy ze strony właściciela aplikacji. Przeglądanie kodu źródłowego aplikacji często może być bardzo skuteczne w wykrywaniu luk w zabezpieczeniach, których wykrycie przez badanie działającej aplikacji byłoby trudne lub czasochłonne. Opisujemy metodologię i udostępniamy ściągawkę język po języku, aby umożliwić Ci przeprowadzenie efektywnego przeglądu kodu, nawet jeśli masz ograniczone doświadczenie w programowaniu.

Część 20  "Zestaw narzędzi dla hakerów aplikacji internetowych" : zestawia różne. Są to te same narzędzia, których używa się do atakowania aplikacji internetowych w świecie rzeczywistym. Badamy kluczowe cechy tych narzędzi i szczegółowo opisujemy rodzaj przepływu pracy, który zazwyczaj trzeba zastosować, aby uzyskać z nich jak najwięcej korzyści. Badamy również, w jakim stopniu każde w pełni zautomatyzowane narzędzie może skutecznie wykrywać luki w aplikacjach internetowych. Na koniec przedstawiamy kilka wskazówek i porad, jak najlepiej wykorzystać swój zestaw narzędzi.

Część 21  "Metodologia hakera aplikacji internetowych" : to obszerne i uporządkowane zestawienie wszystkich procedur i technik opisanych w tym tekście. Są one zorganizowane i uporządkowane zgodnie z logicznymi zależnościami między zadaniami, gdy przeprowadzasz rzeczywisty atak. Jeśli przeczytałeś i zrozumiałeś wszystkie luki w zabezpieczeniach i techniki opisane w tej książce, możesz wykorzystać tę metodologię jako kompletną listę kontrolną i plan pracy podczas przeprowadzania ataku na aplikację internetową.




XV Podstawowych Skrótów w Windows 10

1. Ctrl + A: Ctrl + A, podświetla lub zaznacza wszystko, co masz w środowisku, w którym pracujesz. Jeśli myślisz sobie: "Wow, zawartość tego dokumentu jest obszerna i nie ma czasu, aby ją wybrać, a poza tym wywrze presję na moim komputerze?" Używanie myszy do tego jest przestarzałą metodą obsługi zadania, takiego jak wybieranie wszystkich, Ctrl + A zajmie się tym w zaledwie kilka sekund.

2. Ctrl + C: Ctrl + C kopiuje dowolny podświetlony lub wybrany element w środowisku pracy. Oszczędza czas i stres, który zostałby użyty do kliknięcia prawym przyciskiem myszy i ponownego kliknięcia tylko w celu skopiowania. Użyj Ctrl + C.

3. Ctrl + N: Ctrl + N otwiera nowe okno lub plik. Zamiast klikać Plik, Nowy, pusty / szablon i kolejne kliknięcie, po prostu naciśnij Ctrl + N, a nowe okno lub plik pojawi się natychmiast.

4. Ctrl + O: Ctrl + O otwiera istniejący plik. Użyj Ctrl + O, gdy chcesz zlokalizować / otworzyć plik lub program.

5. Ctrl + P: Ctrl + P drukuje aktywny dokument. Zawsze używaj tego do zlokalizowania okna dialogowego drukarki i drukowania.

6. Ctrl + S: Ctrl + S zapisuje nowy dokument lub plik i zmiany wykonane przez użytkownika. Dotykasz teraz myszy? Proszę przestań! Nie używaj myszy. Po prostu naciśnij Ctrl + S, a wszystko zostanie zapisane.

7. Ctrl + V: Ctrl + V wkleja skopiowane elementy do aktywnego obszaru używanego programu. Użycie ctrl + V w takim przypadku Oszczędza czas i stres związany z kliknięciem prawym przyciskiem myszy i ponownym kliknięciem tylko po to, aby wkleić.

8. Ctrl + W: Ctrl + W służy do zamykania strony, na której pracujesz, gdy chcesz opuścić środowisko pracy. "Jest sposób, w jaki Peace robi to bez użycia myszy. O mój Boże, dlaczego się tego nie nauczyłem? " Nie martw się, mam odpowiedź: Peace naciska Ctrl + W, aby zamknąć aktywne okna.

9. Ctrl + X: Ctrl + X tnie elementy (sprawiając, że elementy znikają z ich pierwotnego miejsca). Różnica między wycinaniem a usuwaniem elementów polega na tym, że w wycinaniu wycinane elementy nie giną na stałe, ale przygotowuje się do wklejenia w innym miejscu wybranym przez użytkownika. Użyj Ctrl + X, gdy myślisz "To nie powinno być tutaj i nie mogę znieść stresu związanego z przepisywaniem lub przeprojektowywaniem tego we właściwym miejscu".

10. Ctrl + Y: Ctrl + Y ponawia cofniętą czynność. Ctrl + Z przywróciło to, czego nie potrzebujesz? Naciśnij Ctrl + Y, aby ponownie go usunąć.

11. Ctrl + Z: Ctrl + Z cofa akcje. Nie możesz znaleźć tego, co wpisałeś teraz lub wstawionego obrazu, nagle zniknął lub omyłkowo go usunąłeś? Naciśnij Ctrl + Z, aby go przywrócić.

12. Alt + F4: Alt + F4 zamyka aktywne okna lub elementy. Nie musisz poruszać myszą, aby zamknąć aktywne okno, po prostu naciśnij Alt + F4, jeśli skończysz lub nie chcesz, aby ktoś, kto przychodził, zobaczył, co robisz.

13. Ctrl + F6: Control plus F6 Nawigacja między otwartymi oknami, umożliwiając użytkownikowi zobaczenie, co dzieje się w aktywnych oknach. Pracujesz w programie Microsoft Word i chcesz się dowiedzieć, czy inne aktywne okno, w którym Twoja przeglądarka ładuje stronę, nadal się rozwija? Użyj Ctrl + F6.

14. F1: Wyświetla okno pomocy. Czy Twój komputer działa nieprawidłowo? Użyj F1, aby znaleźć pomoc, gdy nie wiesz, co dalej zrobić.

15. F12: Umożliwia użytkownikowi wprowadzanie zmian w już zapisanym dokumencie. F12 to skrót do użycia, gdy chcesz zmienić format, w którym zapisałeś istniejący dokument, wpisać hasło, zmienić jego nazwę, zmienić lokalizację pliku lub miejsce docelowe lub wprowadzić inną zmianę












Numer 01 (73) / 2023

Odwiedzin: 56536
Dzisiaj: 13
On-line: 1
Strona istnieje: 2256 dni
Ładowanie: 0.383 sek


[ 8264 ]











Pamiętnik windowsianki


>>> LINK <<<

16.01.2023


Pokaż biblioteki

Twoje biblioteki w systemie Windows 11 to wstępnie ustawione foldery systemowe, które są domyślnymi lokalizacjami dla Rolki z aparatu, Muzyki, Zapisanych obrazów, Dokumentów, Obrazów i Wideo. Możesz łatwo wyświetlić je w Eksploratorze plików. Kliknij prawym przyciskiem myszy dowolny wolny obszar okienka nawigacji iw menu kliknij polecenie Pokaż biblioteki. Następnie możesz rozwinąć listę bibliotek, klikając małą strzałkę.

Zakładka Widok

Karta Widok w Eksploratorze plików pozwala całkowicie zmienić wygląd okna, sposób wyświetlania plików, a nawet to, czy każdy element ma stałe pole wyboru obok niego. Jednym z najbardziej użytecznych narzędzi na karcie Widok jest przycisk Panel szczegółów. Spowoduje to przełączenie okienka podglądu na listę szczegółów pliku. Jest to szczególnie przydatne podczas przeglądania obrazów.