این کتاب بهترین راهنمای میدانی برای یافتن اشکالات نرم افزاری است.

چه یک مبتدی در زمینه امنیت سایبری باشید که می‌خواهید اینترنت را ایمن‌تر کنید یا یک توسعه‌دهنده باتجربه که می‌خواهد کد امن بنویسد، پیتر یاورسکی هکر اخلاقی به شما نشان می‌دهد که چگونه این کار را انجام می‌دهید.

شما در مورد رایج ترین انواع باگ ها مانند اسکریپت نویسی متقابل سایت، ارجاعات مستقیم اشیاء ناامن، و جعل درخواست سمت سرور آشنا خواهید شد. با استفاده از مطالعات موردی واقعی آسیب‌پذیری‌های پاداش از برنامه‌هایی مانند توییتر، فیس‌بوک، گوگل و اوبر، خواهید دید که چگونه هکرها در حین انتقال پول، شرایط مسابقه را فراخوانی می‌کنند، از پارامتر URL استفاده می‌کنند تا باعث شوند کاربران توییت‌های ناخواسته را دوست داشته باشند و موارد دیگر.

هر فصل یک نوع آسیب‌پذیری را معرفی می‌کند که با مجموعه‌ای از پاداش‌های باگ گزارش‌شده واقعی همراه است. مجموعه داستان‌های این کتاب به شما می‌آموزد که چگونه مهاجمان کاربران را فریب می‌دهند تا اطلاعات حساس خود را در اختیارشان بگذارند و چگونه سایت‌ها ممکن است آسیب‌پذیری‌های خود را به کاربران باهوش نشان دهند. شما حتی خواهید آموخت که چگونه می توانید سرگرمی چالش برانگیز جدید خود را به یک حرفه موفق تبدیل کنید.

• نحوه کار اینترنت و مفاهیم اولیه هک وب
• چگونه مهاجمان وب سایت ها را به خطر می اندازند
• نحوه شناسایی عملکردی که معمولاً با آسیب پذیری ها مرتبط است
• نحوه یافتن برنامه‌های پاداش باگ و ارائه گزارش‌های آسیب‌پذیری مؤثر

با درک جدید خود از امنیت سایت و نقاط ضعف، می توانید کمک کنید تا وب را به مکانی امن تر تبدیل کنید - و تا زمانی که در آن هستید سود ببرید.

"یک منبع درخشان برای هر کسی که آرزو دارد یک باگ هانتر حرفه ای باشد."

-دانا اپ، Security Boulevard

درباره نویسنده

پیتر یاورسکی یک توسعه دهنده خودآموخته و هکر اخلاقی است که شروع به ساخت وب سایت منحصراً با دروپال کرد. از آن زمان، او علاقه خود را به Rails، توسعه برنامه اندروید و امنیت نرم افزار گسترش داد، در حالی که بیش از 100 آموزش ویدیویی و مصاحبه در یوتیوب تولید کرد که هک اخلاقی، توسعه وب و اندروید را پوشش می داد تا به دیگران کمک کند آموخته های خود را آموزش دهد. پیتر همچنان در Shopify، HackerOne، Salesforce، Twitter، Starbucks و وزارت دفاع ایالات متحده، یک شرکت‌کننده فعال باگ بانتی است.

Learn how people break websites and how you can, too.

Real-World Bug Hunting is the premier field guide to finding software bugs. Whether you're a cyber-security beginner who wants to make the internet safer or a seasoned developer who wants to write secure code, ethical hacker Peter Yaworski will show you how it's done.

You'll learn about the most common types of bugs like cross-site scripting, insecure direct object references, and server-side request forgery. Using real-life case studies of rewarded vulnerabilities from applications like Twitter, Facebook, Google, and Uber, you'll see how hackers manage to invoke race conditions while transferring money, use URL parameter to cause users to like unintended tweets, and more.

Contents

Chapter 1: Bug Bounty Basics

Chapter 2: Open Redirect

Chapter 3: HTTP Parameter Pollution

Chapter 4: Cross-Site Request Forgery

Chapter 5: HTML Injection and Content Spoofing

Chapter 6: Carriage Return Line Feed Injection

Chapter 7: Cross-Site Scripting

Chapter 8: Template Injections

Chapter 9: SQL Injection

Chapter 10: Server-Side Request Forgery

Chapter 11: XML External Entity

Chapter 12: Remote Code Execution

Chapter 13: Memory Vulnerabilities

Chapter 14: Subdomain Takeover

Chapter 15: Race Conditions

Chapter 16: Insecure Direct Object References

Chapter 17: OAuth Vulnerabilities

Chapter 18: Application Logic and Configuration Vulnerabilities

Chapter 19: Finding Your Own Bug Bounties

Chapter 20: Vulnerability Reports

Appendix A: Tools

Appendix 8: Resources

Each chapter introduces a vulnerability type accompanied by a series of actual reported bug bounties. The book's collection of tales from the field will teach you how attackers trick users into giving away their sensitive information and how sites may reveal their vulnerabilities to savvy users. You'll even learn how you could turn your challenging new hobby into a successful career. You'll learn:

• How the internet works and basic web hacking concepts
• How attackers compromise websites
• How to identify functionality commonly associated with vulnerabilities
• How to find bug bounty programs and submit effective vulnerability reports

Real-World Bug Hunting is a fascinating soup-to-nuts primer on web security vulnerabilities, filled with stories from the trenches and practical wisdom. With your new understanding of site security and weaknesses, you can help make the web a safer place--and profit while you're at it.

Review

"I am quite sure that [this book is] going to be one of the most recommended books for web app pen-testing. If it is not already."

—Sudo Realm

"A brilliant resource for anyone who aspires to be a professional bug hunter."

—Dana Epp, Security Boulevard

About the Author

Peter Yaworski is a self-taught developer and ethical hacker who began building websites exclusively with Drupal. Since then, he has expanded his interest to Rails, Android app development, and software security, while producing over 100 video tutorials and interviews on YouTube covering ethical hacking, web development, and Android to help teach others what he's learned. Peter continues to be an active bug bounty participant with thanks from Shopify, HackerOne, Salesforce, Twitter, Starbucks and the US Department of Defense among others.