内容简介
本书充满了丰富的、真实的安全漏洞报告示例以及有用的分析。——Michiel Prins 和 Jobert Abma, HackerOne的共同创始人。本书是寻找软件漏洞的指南。不管你是想让互联网环境变得更加安全的网络安全知识初学者,还是想要写安全代码的经验丰富的开发人员,本书都能让你有所收获。你将了解最常见的网络漏洞,如跨站点脚本、不安全的直接对象引用和伪造服务器端请求。通过学习从Twitter、Facebook、Google、Uber等应用程序的赏金漏洞中选取的真实案例,你会看到黑客如何在转账时调用竞态条件,使用URL参数让用户喜欢上非预期的推文等。书中除第1章外,每一章都介绍了一个漏洞类型,并附有一系列已公布过的真实的漏洞赏金,通过这个领域的事件来告诉你攻击者如何诱骗用户泄露他们的敏感信息,以及网站如何暴露用户的弱点。你甚至会学到如何将这个具有挑战性的新爱好转变为成功的职业。通过本书,你将学到:互联网的工作原理和漏洞的概念、攻击者如何攻击网站、如何在日常生活中识别与漏洞相关的功能、应该从哪里着手寻找漏洞、如何找到赏金漏洞并提交有效的漏洞报告。
AI简介
这是一本深度剖析Web安全漏洞的指南,旨在帮助读者理解互联网的工作原理和漏洞的概念,理解攻击者如何攻击网站,理解如何在日常生活中识别与漏洞相关的功能,理解应该从哪里着手寻找漏洞,以及理解如何找到赏金漏洞并提交有效的漏洞报告。
书籍通过丰富的真实的安全漏洞报告示例以及有用的分析,向读者介绍了最常见的网络漏洞,如跨站点脚本、不安全的直接对象引用和伪造服务器端请求等。这些漏洞通常被黑客利用来窃取用户的敏感信息,或者利用网站的弱点进行攻击。
书中每一章都介绍了一个漏洞类型,并附有一系列已公布过的真实的漏洞赏金,通过这个领域的事件来告诉你攻击者如何诱骗用户泄露他们的敏感信息,以及网站如何暴露用户的弱点。例如,书中详细介绍了跨站请求伪造(CSRF) 攻击的原理,以及如何通过OAuth漏洞窃取身份验证令牌并访问目标用户在资源服务器上的账户信息。
在书的最后几章,作者还向读者介绍了如何找到你的漏洞奖金,包括如何侦察、如何测试应用程序以及如何走得更远一些。同时,作者也向读者介绍了如何撰写漏洞报告,包括如何有效地提交漏洞报告,以及如何在提交过程中保护自己的信誉积分。
推荐影视
阅读/下载地址