# Web Hacking 101 - 如何以道德方式通过黑客赚钱
这本书的核心内容是关于网络安全和道德黑客的书籍《Web Hacking 101》,由 Peter Yaworski 撰写,涵盖了如何通过道德黑客的方式发现和利用网络漏洞。书籍提供了对多种网络攻击类型的深入分析,包括跨站脚本攻击(XSS)、服务器端请求伪造(SSRF)、SQL 注入、远程代码执行(RCE)、内存溢出、开放重定向漏洞等,并提供了实际案例研究。
此外,书中还讨论了如何编写有效的漏洞报告,如何使用各种安全测试工具,以及如何通过 Bug Bounty 程序获得报酬。书中强调了道德黑客的重要性,即在不造成实际伤害的情况下,帮助组织发现和修复安全漏洞,以提高网络安全。
# 简介
Web Hacking 101 的前言由 HackerOne 联合创始人 Michiel Prins 和 Jobert Abma 撰写,内容是关于软件安全问题的道德探索,但学习黑客攻击并不总是那么容易。除了少数例外,现有书籍都过于技术性,仅用一章专门介绍网站漏洞,或者不包含任何现实世界的示例。
Web Hacking 101 使用公开披露的漏洞解释了常见的 Web 漏洞,并向您展示如何开始查找漏洞和收集赏金。本书包含 30 多个示例,涵盖以下主题:
- HTML 注入
- 跨站脚本攻击 (XSS)
- 跨站请求伪造 (CSRF)
- 打开重定向
- 远程代码执行 (RCE)
- 应用逻辑
- 和更多...
每个示例都包括攻击分类、报告链接、支付的赏金、易于理解的描述和关键要点。读完本书后,您将看到存在的各种漏洞,并且您可能永远不会以同样的方式看待网站或 API。
# 大纲
介绍
- 起始章节,解释网络黑客的定义和本书的目的
- 如何开始网络黑客生涯
- 作者分享个人经历和动机
- 前言
- 网络的工作原理
- HTTP 请求和响应
- 网络漏洞的基础知识
- 开放重定向漏洞
- 描述和示例
- 漏洞的影响
- 发现和利用方法
- HTTP 参数污染
- 描述和示例
- 影响和利用方法
- 测试和验证
- 跨站请求伪造
- 描述和示例
- 影响和利用方法
- 防护措施
- 跨站脚本攻击
- 描述和示例
- 影响和利用方法
- 防护措施
- HTML 注入
- 描述和示例
- 影响和利用方法
- 防护措施
- 回车换行符注入
- 描述和示例
- 影响和利用方法
- 防护措施
- 跨站脚本攻击
- 描述和示例
- 影响和利用方法
- 防护措施
- 服务器端模板注入
- 描述和示例
- 影响和利用方法
- 防护措施
- SQL 注入
- 描述和示例
- 影响和利用方法
- 防护措施
- 服务器端请求伪造
- 描述和示例
- 影响和利用方法
- 防护措施
- XML 外部实体漏洞
- 描述和示例
- 影响和利用方法
- 防护措施
- 远程代码执行
- 描述和示例
- 影响和利用方法
- 防护措施
- 内存相关问题
- 描述和示例
- 影响和利用方法
- 防护措施
- 子域名接管
- 描述和示例
- 影响和利用方法
- 防护措施
- 竞赛条件
- 描述和示例
- 影响和利用方法
- 防护措施
- 不安全的直接对象引用
- 描述和示例
- 影响和利用方法
- 防护措施
- OAuth 问题
- 描述和示例
- 影响和利用方法
- 防护措施
- 应用程序逻辑漏洞
- 描述和示例
- 影响和利用方法
- 防护措施
- 漏洞报告
- 撰写有效报告的指导
- 与公司建立关系
- 报告的示例
- 工具
- 推荐的黑客工具列表
- 工具的使用和功能
- 资源
- 在线训练资源
- Bug Bounty 平台
- 视频教程和推荐博客
- 术语表
- 黑客和网络安全相关术语解释
- 附录 A - 要点总结
- 每个章节的关键要点和学习
- 附录 B - Web Hacking 101 变更日志
- 书籍的更新和修订记录
书籍还包括了一些实际的漏洞报告示例,以及如何通过特定的平台(如 HackerOne)进行报告。书中还提供了关于如何使用各种安全测试工具的指导,以及如何通过 Bug Bounty 程序获得报酬的建议。
