书评《Real-World Bug Hunting》

《Real-World Bug Hunting: A Field Guide to Web Hacking》是一本2019年面向Web安全初学者的安全入门书籍。本书主要分享一些厂商的实际漏洞案例，并给出奖金额度、PoC和报告链接，覆盖了许多常见的Web漏洞类型，比如XSS、SQL注入、XXE等等。

今天花了一些时间把此书过了一遍，写点书评，谈谈个人观点。

不广告，不吐槽，不毒舌，让我们安安静静地做个读书人。

书籍定位初学者

如作者笑称的，本书是面向12岁到70岁老少通吃的Web漏洞入门书籍，从在浏览器访问URL的背后行为讲起，包括DNS解析、TCP连接、HTTP请求等等，确实比较基础。

第一眼看到第1章标题（BUG BOUNTY BASICS）时，以为是要介绍漏洞奖励计划，比如HackerOne、Bugcrowd等平台，或者介绍一些赏金猎人的事迹，但没想到事与愿违，着实有点令人失望。

其实会看这种书的人，一般都已经知道Web相关的基础知识，甚至已经有开发基础，即使无开发基础，有点计算机教育背景的，都会知道这些基础概念，所以对于第一章的定位，个人觉得有点偏低，其实是可以省略，讲些漏洞奖励计划相关的故事。

之后的章节主要按漏洞类型来分章，这个还是比较明确的，介绍了常见漏洞类型的基础知识和实际案例，且每个案例背后会附上作者的点评。

本书依托当前漏洞奖励平台的兴起，收集真实的漏洞案例（大多是HackerOne平台上的公开漏洞）讲解Web漏洞挖掘和利用，这个定位挺好的，避免过多空头理论，有实战参考价值。但不是每种漏洞都讲如何防御，这个定位在国内可能不是那么“和谐”，不过没有拿国内厂商开刀就是。

授人以鱼不如授人以渔

书名虽为Bug Hunting，但实际上并没有讲多少漏洞挖掘技巧，更多是分享漏洞案例中的“现象”，内容与书名主题是不够匹配的。所以，作者更多地只是给出了漏洞poc这条“鱼”，而不是教授“渔”这种挖洞技能。

比如XSS一章，作者主要介绍了输入<script></script>之类的xss payload到输入框或请求参数作测试，这是比较基础常见的测试方法，也介绍了XSSHunter工具和HTML5 xss payload链接，但也就仅止于此，不够深入。更多地是列举一些厂商XSS漏洞，但对其分析也比较浅，防御上也只简单地说了句“sanitize user input”，并无具体方案。

特别是SQL注入的讲解，只简单地介绍了 or 1=1的这种测试方法，就直接跳到漏洞案例，一些漏洞案例有给出一些原因分析，整体上比较零散上，不够系统化，这对初学者其实也是很友好，与其入门的定位有些相悖。

除了每个漏洞类型开篇介绍的漏洞基础知识，以及后面漏洞案例的价值和危害，读者是比较难系统全面地学习到漏洞知识的，对于提高Web漏洞挖掘和利用能力是有限的。

危害程度直观化

由于大部分漏洞都有给出奖金值，从奖金额度上，我们可以对漏洞危害程度有个可量化的对比，且容易直观地看到漏洞是如何被用来攻击网站的，这点比较容易理解，对于单纯具备理论知识的读者，是可以帮助从实战的角度来理解漏洞的。同时，对于那些不懂安全的开发者，可以让其理解到危害，以及当前国外厂商对漏洞的重视，是帮助他们提高安全意识的一种途径。

填补安全书籍的空白

Server-side template injection (SSTI)漏洞虽然已经出来很久了，虽不是那么新颖的漏洞类型，但在Web安全书籍中很少提及的，至少国内的安全书籍是很少讲到的，虽然其中的漏洞分析不是很深入，但攻击手法很直观地展示了危害，也算是弥补安全书籍的空白。

结论

本书主要是面向Web安全初学者，虽然有一章内存破坏漏洞，但很基础，且讲得不全，我觉得可以忽略不计，其定位依然是Web安全方向。

对于已经入门Web安全的同学，或者想学习web漏洞挖掘技术的，并不推荐此书。如果是不懂安全的开发者，或者其它对网站渗透感兴趣的初学者，倒是可以学习下，帮助提高安全意识，避免踩安全的坑，尤其是当前网络安全形势严峻的情况下，技多不压身。

所以，我对这本书的总体评价是：一般。

如果你要想下载本书，可在公众号回复“bug hunting"获取下载链接。