Web漏洞搜索
上QQ阅读APP看书,第一时间看更新

1.1 漏洞和漏洞悬赏

漏洞是应用程序中的一个弱点,它允许恶意用户执行某些未经许可的操作或获取访问信息的权限,若不存在漏洞,他们将被禁止访问这些信息。

在学习和测试应用程序时,请记住:攻击者执行有意或无意的操作都可能会导致漏洞,例如更改记录标识符的ID以访问不应该访问的信息。

假设一个网站允许创建一份个人资料,其中包括姓名、电子邮件、生日和地址,你的私人信息只会分享给你的朋友。但如果网站允许任何人加你为好友并且不需要你的同意,这将是一个漏洞。尽管网站将你的信息对非好友保密,但允许任何人加你为好友,就意味着他们将都可以访问你的信息。当你测试一个站点时,一定要考虑别人是如何滥用现有功能的。

漏洞悬赏是某个网站或公司给予发现漏洞并将其报告给该网站或公司的人的一种奖励。奖励通常是钱,从几十美元到数万美元不等。除了钱之外,奖励也可能是加密货币、航空里程、奖励积分、服务积分等。

当一家公司提供漏洞悬赏时,为了那些想测试公司漏洞的人,公司会创建一个项目,在本书中,我们将使用“项目”这一词表示公司制定的规则和框架。请注意,这与操作漏洞披露程序(VDP)的公司不同。漏洞悬赏会提供一些奖金,而VDP是不提供报酬的(尽管个别公司可能会给奖励),因为VDP只是白帽黑客向公司报告漏洞以供公司修复的一种方法。虽然本书中并不是所有的报告都得到了回报,但它们都是黑客参与漏洞悬赏计划的例子。