书评《Real-World Bug Hunting》

释放双眼,带上耳机,听听看~!

文章转载至https://mp.weixin.qq.com/s/o4VCEBrL0jTuIMCoNf_-2w

《Real-World Bug Hunting: A Field Guide to Web Hacking》是一本2019年面向Web安全初学者的安全入门书籍。本书主要分享一些厂商的实际漏洞案例,并给出奖金额度、PoC和报告链接,覆盖了许多常见的Web漏洞类型,比如XSS、SQL注入、XXE等等。

今天花了一些时间把此书过了一遍,写点书评,谈谈个人观点。

不广告,不吐槽,不毒舌,让我们安安静静地做个读书人。

## 书籍定位初学者

如作者笑称的,本书是面向12岁到70岁老少通吃的Web漏洞入门书籍,从在浏览器访问URL的背后行为讲起,包括DNS解析、TCP连接、HTTP请求等等,确实比较基础。

第一眼看到第1章标题(BUG BOUNTY BASICS)时,以为是要介绍漏洞奖励计划,比如HackerOne、Bugcrowd等平台,或者介绍一些赏金猎人的事迹,但没想到事与愿违,着实有点令人失望。

其实会看这种书的人,一般都已经知道Web相关的基础知识,甚至已经有开发基础,即使无开发基础,有点计算机教育背景的,都会知道这些基础概念,所以对于第一章的定位,个人觉得有点偏低,其实是可以省略,讲些漏洞奖励计划相关的故事。

之后的章节主要按漏洞类型来分章,这个还是比较明确的,介绍了常见漏洞类型的基础知识和实际案例,且每个案例背后会附上作者的点评。

本书依托当前漏洞奖励平台的兴起,收集真实的漏洞案例(大多是HackerOne平台上的公开漏洞)讲解Web漏洞挖掘和利用,这个定位挺好的,避免过多空头理论,有实战参考价值。但不是每种漏洞都讲如何防御,这个定位在国内可能不是那么“和谐”,不过没有拿国内厂商开刀就是。

## 授人以鱼不如授人以渔

书名虽为Bug Hunting,但实际上并没有讲多少漏洞挖掘技巧,更多是分享漏洞案例中的“现象”,内容与书名主题是不够匹配的。所以,作者更多地只是给出了漏洞poc这条“鱼”,而不是教授“渔”这种挖洞技能。

比如XSS一章,作者主要介绍了输入之类的xss payload到输入框或请求参数作测试,这是比较基础常见的测试方法,也介绍了XSSHunter工具和HTML5 xss payload链接,但也就仅止于此,不够深入。更多地是列举一些厂商XSS漏洞,但对其分析也比较浅,防御上也只简单地说了句“sanitize user input”,并无具体方案。

特别是SQL注入的讲解,只简单地介绍了 or 1=1的这种测试方法,就直接跳到漏洞案例,一些漏洞案例有给出一些原因分析,整体上比较零散上,不够系统化,这对初学者其实也是很友好,与其入门的定位有些相悖。

除了每个漏洞类型开篇介绍的漏洞基础知识,以及后面漏洞案例的价值和危害,读者是比较难系统全面地学习到漏洞知识的,对于提高Web漏洞挖掘和利用能力是有限的。

## 危害程度直观化

由于大部分漏洞都有给出奖金值,从奖金额度上,我们可以对漏洞危害程度有个可量化的对比,且容易直观地看到漏洞是如何被用来攻击网站的,这点比较容易理解,对于单纯具备理论知识的读者,是可以帮助从实战的角度来理解漏洞的。同时,对于那些不懂安全的开发者,可以让其理解到危害,以及当前国外厂商对漏洞的重视,是帮助他们提高安全意识的一种途径。

## 填补安全书籍的空白

Server-side template injection (SSTI)漏洞虽然已经出来很久了,虽不是那么新颖的漏洞类型,但在Web安全书籍中很少提及的,至少国内的安全书籍是很少讲到的,虽然其中的漏洞分析不是很深入,但攻击手法很直观地展示了危害,也算是弥补安全书籍的空白。

## 结论

本书主要是面向Web安全初学者,虽然有一章内存破坏漏洞,但很基础,且讲得不全,我觉得可以忽略不计,其定位依然是Web安全方向。

对于已经入门Web安全的同学,或者想学习web漏洞挖掘技术的,并不推荐此书。如果是不懂安全的开发者,或者其它对网站渗透感兴趣的初学者,倒是可以学习下,帮助提高安全意识,避免踩安全的坑,尤其是当前网络安全形势严峻的情况下,技多不压身。

相关文章

人已赞赏
安全建设

网站渗透测试入侵检测和应急响应方案

2020-4-11 18:29:44

安全建设

办公信息系统安全相关标准解读

2020-4-23 16:27:44

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
有新消息 消息中心
搜索