Web Hacking 101: How to Make Money Hacking Ethically
Dernière mise à jour
Dernière mise à jour
Mon avis personnel sur le livre Web Hacking 101: How to make Money Hacking Ethically de Peter Yaworski, paru en 2018.
Résumé / Présentation :On December 22, 2015, Twitter paid over $14,000 to ethical hackers for exposing vulnerabilities. This wasn't a shakedown. Sites like Twitter, Shopify, Dropbox, Yahoo, Google, Facebook and more, ask ethical hackers to report security bugs and pay them. This book will teach you how you can get started with ethical hacking.
Table des matières :
Foreword
Introduction
Background
Open Redirect Vulnerabilities
HTTP Parameter Pollution
Cross-Site Request Forgery
HTML Injection
CRLF Injection
Cross-Site Scripting
Template Injection
SQL Injection
Server Side Request Forgery
XML External Entity Vulnerability
Remote Code Execution
Memory
Sub Domain Takeover
Race Conditions
Insecure Direct Object References
OAuth
Application Logic Vulnerabilities
Getting Started
Vulnerability Reports
Tools
Resources
Glossary
Appendix A - Take Aways
Appendix B - Web Hacking 101 Changelog
Une bonne surprise qu'est ce très bon livre. Il se lit très facilement et de façon plutôt fluide.
Le fait de s'appuyer sur des cas concrets est intéressant et surtout cela change des innombrables exemples basés sur des applications vues et revues comme WebGoat / DVWA / bWAPP ou autres. Une dimension supplémentaire est d'avoir un contexte métier qui accompagne la vulnérabilité (ainsi que les explications quand cela est nécessaire), cela permet de mieux s'immerger et de se mettre "dans la peau" de la personne qui a identifié la vulnérabilité (on se pose souvent la question "Y aurai-je pensé ?").
En plus de cela, nous avons le droit à un chapitre dédié au retour d'expérience de l'auteur, les erreurs à éviter et que lui a commises lors de ses débuts dans le monde de la chasse aux bugs. Un second chapitre sur les principaux outils utilisés ainsi qu'une liste de ressources pour approfondir notre lecture.
Pour ma part j'ai lu le livre d'un bout à l'autre, mais suivant vos besoins vous pouvez piocher là où bon vous semble, si par exemple, vous souhaitez approfondir vos connaissances sur une vulnérabilité particulière. De plus, les exemples sont assez concis, pas de fioriture, ce qui est un bon point quand le temps nous manque, car cela permet d'arrêter plus facilement la lecture et de reprendre au prochain exemple ou à la prochaine vulnérabilité.
Je l'ai trouvé très abordable techniquement parlant, quelques petits tips à droite à gauche qui permettent de s'améliorer pour les prochains challenges. Mais selon moi, le but du livre n'est pas tant d'exposer des faits techniques que des manières de penser lors de la recherche de failles. Une chose soulevée assez fréquemment est de ne jamais abandonner la recherche, toujours creuser plus loin (ou alors autour, vous comprendrez à la lecture). En quelques mots : "Never give up !".
En résumé, je vous conseille fortement ce livre, vous ne perdrez pas votre temps. Le seul regret à son sujet est que je n'ai pas trouvé de version papier directement achetable.
Titre : Web Hacking 101: How to Make Money Hacking Ethically Auteur : Peter Yaworski Dernière parution : 30 novembre 2018 Langue : Anglaise Prix : 9,99 $ Lien :
De prime abord ce livre peut ressembler à beaucoup d'autres listes de vulnérabilités déjà connues comme par exemple le Top Ten OWASP. Il y a bien sûr ici plus de vulnérabilités détaillées mais la principale différence se situe dans la manière de les expliquer. L'auteur s'appuie en fait sur des cas réels tirés des différents rapports de Bug Bounty de la plateforme HackerOne (). Certaines de ces vulnérabilités proviennent de ses propres trouvailles et d 'autres proviennent d'autres chercheurs en sécurité.
