书评《Real-World Bug Hunting》

  • A+
所属分类:安全闲碎

书评《Real-World Bug Hunting》


《Real-World Bug Hunting: A Field Guide to Web Hacking》是一本2019年面向Web安全初学者的安全入门书籍。本书主要分享一些厂商的实际漏洞案例,并给出奖金额度、PoC和报告链接,覆盖了许多常见的Web漏洞类型,比如XSS、SQL注入、XXE等等。


今天花了一些时间把此书过了一遍,写点书评,谈谈个人观点。

不广告,不吐槽,不毒舌,让我们安安静静地做个读书人。

书评《Real-World Bug Hunting》


书评《Real-World Bug Hunting》
书籍定位初学者
书评《Real-World Bug Hunting》

书评《Real-World Bug Hunting》

如作者笑称的,本书是面向12岁到70岁老少通吃的Web漏洞入门书籍,从在浏览器访问URL的背后行为讲起,包括DNS解析、TCP连接、HTTP请求等等,确实比较基础。


第一眼看到第1章标题(BUG BOUNTY BASICS)时,以为是要介绍漏洞奖励计划,比如HackerOne、Bugcrowd等平台,或者介绍一些赏金猎人的事迹,但没想到事与愿违,着实有点令人失望。


其实会看这种书的人,一般都已经知道Web相关的基础知识,甚至已经有开发基础,即使无开发基础,有点计算机教育背景的,都会知道这些基础概念,所以对于第一章的定位,个人觉得有点偏低,其实是可以省略,讲些漏洞奖励计划相关的故事。


之后的章节主要按漏洞类型来分章,这个还是比较明确的,介绍了常见漏洞类型的基础知识和实际案例,且每个案例背后会附上作者的点评。


书评《Real-World Bug Hunting》


本书依托当前漏洞奖励平台的兴起,收集真实的漏洞案例(大多是HackerOne平台上的公开漏洞)讲解Web漏洞挖掘和利用,这个定位挺好的,避免过多空头理论,有实战参考价值。但不是每种漏洞都讲如何防御,这个定位在国内可能不是那么“和谐”,不过没有拿国内厂商开刀就是。

书评《Real-World Bug Hunting》
授人以不如授人以
书评《Real-World Bug Hunting》
书评《Real-World Bug Hunting》

书名虽为Bug Hunting,但实际上并没有讲多少漏洞挖掘技巧,更多是分享漏洞案例中的“现象”,内容与书名主题是不够匹配的。所以,作者更多地只是给出了漏洞poc这条“鱼”,而不是教授“渔”这种挖洞技能。


比如XSS一章,作者主要介绍了输入<script></script>之类的xss payload到输入框或请求参数作测试,这是比较基础常见的测试方法,也介绍了XSSHunter工具和HTML5 xss payload链接,但也就仅止于此,不够深入。更多地是列举一些厂商XSS漏洞,但对其分析也比较浅,防御上也只简单地说了句“sanitize user input”,并无具体方案。


特别是SQL注入的讲解,只简单地介绍了 or 1=1的这种测试方法,就直接跳到漏洞案例,一些漏洞案例有给出一些原因分析,整体上比较零散上,不够系统化,这对初学者其实也是很友好,与其入门的定位有些相悖。


除了每个漏洞类型开篇介绍的漏洞基础知识,以及后面漏洞案例的价值和危害,读者是比较难系统全面地学习到漏洞知识的,对于提高Web漏洞挖掘和利用能力是有限的。


书评《Real-World Bug Hunting》
危害程度直观化
书评《Real-World Bug Hunting》
书评《Real-World Bug Hunting》

由于大部分漏洞都有给出奖金值,从奖金额度上,我们可以对漏洞危害程度有个可量化的对比,且容易直观地看到漏洞是如何被用来攻击网站的,这点比较容易理解,对于单纯具备理论知识的读者,是可以帮助从实战的角度来理解漏洞的。同时,对于那些不懂安全的开发者,可以让其理解到危害,以及当前国外厂商对漏洞的重视,是帮助他们提高安全意识的一种途径。


书评《Real-World Bug Hunting》
填补安全书籍的空白
书评《Real-World Bug Hunting》
书评《Real-World Bug Hunting》

Server-side template injection (SSTI)漏洞虽然已经出来很久了,虽不是那么新颖的漏洞类型,但在Web安全书籍中很少提及的,至少国内的安全书籍是很少讲到的,虽然其中的漏洞分析不是很深入,但攻击手法很直观地展示了危害,也算是弥补安全书籍的空白。


书评《Real-World Bug Hunting》
结论
书评《Real-World Bug Hunting》
书评《Real-World Bug Hunting》

本书主要是面向Web安全初学者,虽然有一章内存破坏漏洞,但很基础,且讲得不全,我觉得可以忽略不计,其定位依然是Web安全方向。


对于已经入门Web安全的同学,或者想学习web漏洞挖掘技术的,并不推荐此书。如果是不懂安全的开发者,或者其它对网站渗透感兴趣的初学者,倒是可以学习下,帮助提高安全意识,避免踩安全的坑,尤其是当前网络安全形势严峻的情况下,技多不压身。


所以,我对这本书的总体评价是:一般。


如果你要想下载本书,可在公众号回复“bug hunting"获取下载链接。



书评《Real-World Bug Hunting》

本文始发于微信公众号(漏洞战争):书评《Real-World Bug Hunting》

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: