Verleger: Helion
Testy penetracyjne dla zaawansowanych. Hakowanie najlepiej zabezpieczonych sieci na świecie
Wil Allsopp
Zgodnie z obiegową opinią typowy haker godzinami przeszukuje ogromne ilości danych o ruchu sieciowym w celu znalezienia słabiej zabezpieczonego systemu, a potem przeprowadza atak i uzyskuje dostęp do cennych zasobów. Obrona przed takimi cyberprzestępcami jest stosunkowo prosta. Prawdziwe wyzwanie rzuca silnie zmotywowany napastnik, który jest znawcą systemów i sprawnym programistą. Dzisiejsi administratorzy stoją w obliczu advanced persistent threat (APT), co oznacza dosłownie trwałe zagrożenie zaawansowanym atakiem. Ta książka jest znakomitym wprowadzeniem do zaawansowanych technik forsowania dobrze zabezpieczonych środowisk. Metody tu opisane nie są przedstawiane w żadnym poradniku ani na żadnych szkoleniach. Autor skoncentrował się na modelowaniu ataków APT w rzeczywistych warunkach: prezentuje różne nowe technologie i techniki ataków w szerokim kontekście rozmaitych dziedzin i branż działalności. Poza skutecznymi wektorami ataku przedyskutowano tak ważne koncepcje jak unikanie wykrycia szkodliwych programów, świadomość sytuacyjną, eksplorację poziomą i wiele innych umiejętności, które są kluczowe dla zrozumienia ataków APT. W tej książce między innymi: Makroataki i ataki typu „człowiek w przeglądarce” Wykorzystywanie apletów Javy do ataków Metody eskalacji uprawnień Maskowanie fizycznej lokalizacji za pomocą ukrytych usług w sieci Tor Eksperymentalne metody C2 Techniki inżynierii społecznej Sam sprawdź, czy Twój system odeprze prawdziwy atak? Wil Allsopp jest ekspertem w dziedzinie bezpieczeństwa systemów informatycznych. Testami penetracyjnymi zajmuje się od ponad 20 lat. Specjalizuje się w działaniach red team, ocenie systemów pod kątem podatności na ataki, audytach bezpieczeństwa, kontroli bezpieczeństwa kodu źródłowego, a także w inżynierii społecznej oraz rozpoznawaniu zaawansowanych stałych zagrożeń. Przeprowadził setki etycznych testów hakerskich i penetracyjnych dla wielu firm z listy „Fortune 100”. Mieszka w Holandii.
Testy penetracyjne nowoczesnych serwisów. Kompendium inżynierów bezpieczeństwa
Prakhar Prasad
Testy penetracyjne nowoczesnych serwisów. Kompendium inżynierów bezpieczeństwa Sieć stała się niebezpiecznym miejscem. Między grasującymi złoczyńcami a inżynierami bezpieczeństwa aplikacji trwa ciągły wyścig zbrojeń. Mimo to oczywiste jest, że uzyskanie stuprocentowego bezpieczeństwa jest niemożliwe. Jedną z technik zabezpieczania aplikacji są testy penetracyjne, które polegają na atakowaniu systemu różnymi metodami, aby odnaleźć jego słabe punkty i pokazać, jak można się do niego włamać. Niniejsza książka stanowi wyczerpujące źródło wiedzy dla testerów przeprowadzających analizę aplikacji internetowej. Opisano tu zarówno najnowsze, jak i klasyczne techniki łamania zabezpieczeń — bardzo często starsze metody rozwijają się w różnych kierunkach i nie należy o nich zapominać. Między innymi przedstawiono informacje o atakach XML, w tym XXE, oraz metody wykorzystywania słabych stron OAuth 2.0. Omówiono również XSS, CSRF, Metasploit i wstrzykiwanie SQL. Nie zabrakło również opisu rzeczywistych przypadków testowania aplikacji. Nowe lub mniej popularne techniki ataku na strony WWW takie jak wstrzykiwanie obiektów PHP lub wykorzystanie danych XML. Sposób pracy z narzędziami do przeprowadzania testów bezpieczeństwa, aby w ten sposób zautomatyzować żmudne zadania. Różne rodzaje nagłówków HTTP wspomagających zapewnienie wysokiego poziomu bezpieczeństwa aplikacji. Wykorzystywanie i wykrywanie różnego rodzaju podatności XSS. Ochronę aplikacji dzięki technikom filtracji. Stare techniki ataku takie jak XSS, CSRF i wstrzykiwanie SQL, ale w nowej osłonie. Techniki ataku takie jak XXE i DoS wykorzystujące pliki XML. Sposoby testowania API typu REST w celu znalezienia różnego rodzaju podatności i wycieków danych. Testy penetracyjne — klucz do bezpieczeństwa Twojej aplikacji! Prakhar Prasad mieszka w Indiach. Jest ekspertem w dziedzinie bezpieczeństwa aplikacji specjalizującym się w testach penetracyjnych. W 2014 roku został sklasyfikowany na dziesiątej pozycji w światowym rankingu HackerOne. Zdobył kilka nagród za znalezienie luk bezpieczeństwa w takich serwisach, jak Google, Facebook, Twitter, PayPal czy Slack. Posiada certyfikaty z OSCP. Przeprowadza testy bezpieczeństwa dla różnych organizacji rządowych, pozarządowych i edukacyjnych.
Testy penetracyjne środowiska Active Directory i infrastruktury opartej na systemie Windows
Denis Isakov
Cyberprzestępczość to obecnie wielki biznes i wielka polityka. Zaangażowane podmioty nieustannie dążą do doskonalenia technik ataków. Cyberprzestępcy dysponują własną metodologią, narzędziami i wykwalifikowanym personelem. Aby obronić się przed nimi, musisz zrozumieć, w jaki sposób atakują, a potem dobrze poznać ich taktyki i techniki. W trakcie lektury tej książki przygotujesz własne laboratorium, a następnie przeanalizujesz każdy etap zabójczego łańcucha ataków i zastosujesz nową wiedzę w praktyce. Dowiesz się, jak ominąć wbudowane mechanizmy bezpieczeństwa, między innymi AMSI, AppLocker i Sysmon, przeprowadzać działania rozpoznawcze i wykrywające w środowisku domeny, a także zbierać dane uwierzytelniające w całej domenie. Przeczytasz również, jak poruszać się ruchem bocznym, aby wtopić się w ruch środowiska i pozostać niewykrytym przez radary obrońców, a ponadto jak eskalować uprawnienia wewnątrz domeny i w całym lesie domen czy osiągać stan przetrwania na poziomie domeny i w kontrolerze domeny. W efekcie nauczysz się przeprowadzać ocenę bezpieczeństwa różnych produktów i usług Microsoftu, takich jak Exchange Server, SQL Server i SCCM. Ciekawsze zagadnienia: techniki atakowania usług: Active Directory, Exchange Server, WSUS, SCCM, AD CS i SQL Server skuteczne unikanie wykrycia w środowisku ofensywne bezpieczeństwo operacyjne (OpSec) sposoby naprawy błędnych konfiguracji przygotowanie rzeczywistych scenariuszy Testuj granice odporności swojej infrastruktury!
The Smashing Book #1. Edycja polska
Sven Lennartz (Editor), Vitaly Friedman (Author)
Smashing Magazine to marka znana w branży webowej na całym świecie. Profesjonalny blog o technologiach i projektowaniu stron, oferujący setki merytorycznych i aktualnych artykułów opartych na realnych przykładach, podbił serca milionów użytkowników. Ta książka to zbiór najlepszych artykułów i porad dla projektantów stron internetowych. Znajdziesz w niej fachowe i sprawdzone informacje na temat tworzenia interfejsu użytkownika oraz typografii w sieci. Autorzy bardzo dużo uwagi poświęcają użyteczności nowoczesnych stron internetowych. W dzisiejszych czasach nawet najdoskonalszy pomysł się nie sprzeda, jeżeli nie będzie opakowany w intuicyjny i przyjazny interfejs użytkownika. Co jeszcze znajdziesz w tej biblii twórców stron WWW? Optymalizacja wydajności witryn, tworzenie projektów zwiększających sprzedaż, teoria kolorów to tylko część zagadnień, które muszą zwrócić Twoją uwagę. Sięgnij po tę książkę, naprawdę warto! Smashing Book. Edycja polska. Kultowy podręcznik dla projektantów i twórców stron internetowych!
Matt Ward
Smashing Magazine to marka znana w branży webowej na całym świecie. Profesjonalny blog o technologiach i projektowaniu stron, oferujący setki merytorycznych i aktualnych artykułów opartych na realnych przykładach, podbił serca milionów użytkowników. Pierwsza część "Smashing Book" zdobyła wyjątkowe uznanie i popularność, a druga na 100% pobije tamten rekord! Ta książka to zbiór praktycznych projektów, prześwietlonych pod względem użyteczności, designu i programowania. Dziewięć genialnych rozdziałów zawiera wiedzę ważną dla każdego projektanta stron internetowych i aplikacji na urządzenia mobilne. Poznasz zasady, jakich powinni przestrzegać graficy, najlepsze sposoby na przygotowanie prototypów stron WWW oraz możliwości CSS3 w zakresie typografii. Dowiesz się, jak powinien wyglądać porządny sklep internetowy, aby osiągnąć murowany sukces w sieci, oraz jak zachęcić użytkowników do klikania we właściwych (z Twojego punktu widzenia!) miejscach. Zrozumiesz swoich użytkowników, a wygodne rozwiązania, o których wcześniej nawet nie pomyślałeś, nagle staną się dla Ciebie oczywiste! Sięgnij po niekwestionowany autorytet w dziedzinie praktycznego i nowoczesnego podejścia do web designu. Smashing Book #2. Kultowy podręcznik dla projektantów i twórców stron internetowych! Patroni medialni:
TinyML. Wykorzystanie TensorFlow Lite do uczenia maszynowego na Arduino i innych mikrokontrolerach
Pete Warden, Daniel Situnayake
Może się wydawać, że profesjonalne systemy uczenia maszynowego wymagają sporych zasobów mocy obliczeniowej i energii. Okazuje się, że niekoniecznie: można tworzyć zaawansowane, oparte na sieciach neuronowych aplikacje, które doskonale poradzą sobie bez potężnych procesorów. Owszem, praca na mikrokontrolerach podobnych do Arduino lub systemach wbudowanych wymaga pewnego przygotowania i odpowiedniego podejścia, jest to jednak fascynujący sposób na wykorzystanie niewielkich urządzeń o niskim zapotrzebowaniu na energię do tworzenia zdumiewających projektów. Ta książka jest przystępnym wprowadzeniem do skomplikowanego świata, w którym za pomocą techniki TinyML wdraża się głębokie uczenie maszynowe w systemach wbudowanych. Nie musisz mieć żadnego doświadczenia z zakresu uczenia maszynowego czy pracy z mikrokontrolerami. W książce wyjaśniono, jak można trenować modele na tyle małe, by mogły działać w każdym środowisku - również Arduino. Dokładnie opisano sposoby użycia techniki TinyML w tworzeniu systemów wbudowanych opartych na zastosowaniu ucze nia maszynowego. Zaprezentowano też kilka ciekawych projektów, na przykład dotyczący budowy urządzenia rozpoznającego mowę, magicznej różdżki reagującej na gesty, a także rozszerzenia możliwości kamery o wykrywanie ludzi. W książce między innymi: praca z Arduino i innymi mikrokontrolerami o niskim poborze mocy podstawy uczenia maszynowego, budowy i treningu modeli TensorFlow Lite i zestaw narzędzi Google dla TinyML bezpieczeństwo i ochrona prywatności w aplikacji optymalizacja modelu tworzenie modeli do interpretacji różnego rodzaju danych Ograniczone zasoby? Poznaj TinyML!
Tomcat. Przewodnik encyklopedyczny. Wydanie II
Jason Brittain, Ian Darwin
Poznaj możliwości serwera Tomcat! Jak dostroić Tomcat w celu pomiaru i poprawy wydajności? Jak wdrażać aplikacje WWW z serwletami i stronami JSP? Jak diagnozować problemy z serwerem? Tomcat jest kontenerem serwletów Java i serwerem WWW stworzonym przez organizację Apache Software Foundation. Może pełnić rolę serwera produkcyjnego o dużej wydajności, sprawdza się również jako darmowy kontener serwletów i stron JSP z udostępnionym kodem źródłowym. Tomcat może być zastosowany niezależnie lub w połączeniu z innymi serwerami WWW (np. httpd Apache). Doskonale radzi sobie w każdego rodzaju środowisku, zapewniając fundament wymagany do praktycznego wykorzystania w Internecie umiejętności z zakresu technologii Java. W książce "Tomcat. Przewodnik encyklopedyczny" znajdziesz szczegółowe wyjaśnienia, jak korzystać z tego serwera. Czytając ją, poznasz wszelkie procedury instalacyjne oraz możliwości konfigurowania obszarów, ról, użytkowników i zasobów JNDI. Nauczysz się, jak uaktywniać i wyłączać funkcję automatycznego przeładowywania serwletów, a także wdrażać aplikacje WWW. Niezbędne informacje dotyczące serwera Tomcat znajdą tu nie tylko programiści, ale także administratorzy, webmasterzy i wszyscy, którzy chcą się dowiedzieć czegoś o tym kontenerze serwletów. Instalowanie i konfigurowanie Tomcata Zarządzanie obszarami, rolami i użytkownikami Uruchamianie i zatrzymywanie serwera Kontrolowanie i utrwalanie sesji Optymalizowanie wydajności serwera Integracja z serwerem WWW Apache Wdrażanie rozpakowanego katalogu aplikacji WWW Praca z plikami WAR Zabezpieczenia serwera Tomcat Przewodnik dla wszystkich, którzy chcą ułatwić sobie pracę z serwerem Tomcat.
Denis Rothman
Transformery zrewolucjonizowały przetwarzanie języka naturalnego, analizę obrazów i komputerowe widzenie. Oparte na transformerach duże modele generatywne dostępne za pośrednictwem systemu ChatGPT z GPT-4V w zadaniach przetwarzania tekstu i obrazów przewyższają wydajność człowieka. Aby uczestniczyć w tej nowej erze technologicznej, musisz zrozumieć, jak działają transformery. Tę książkę docenią praktycy: analitycy danych i inżynierowie uczenia maszynowego. Opisano w niej różne architektury transformerów - od pierwszych modeli podstawowych po najnowsze osiągnięcia w generatywnej sztucznej inteligencji. Dzięki lekturze nauczysz się wstępnego szkolenia i dostrajania modeli LLM, a także pracy nad różnymi przypadkami użycia. Poznasz takie problemy jak halucynacje i zagrożenia prywatności, a następnie dowiesz się, jak je łagodzić. W książce pokazano ponadto, jak poprawiać dokładność modeli LLM i uzyskiwać większą kontrolę nad generowanymi przez nie wynikami. Nie zabrakło ciekawych szczegółów dotyczących modeli generatywnych opartych na transformerach, modeli wizyjnych i architektur multimodalnych, jak również opisu najlepszych praktyk. Najciekawsze tematy: wstępne szkolenie i dostrajanie modeli LLM platformy: Hugging Face, OpenAI i Google Vertex AI tokenizery i najlepsze praktyki wstępnego przetwarzania danych językowych techniki łagodzenia halucynacji wizualizacja aktywności modeli transformerów z użyciem systemów BertViz, LIME i SHAP modele wizyjne i multimodalne oparte na transformerach: CLIP, DALL-E 2, DALL-E 3 i GPT-4V Sztuczna inteligencja, która widzi i mówi - przekonaj się, jak to działa!