Как ты знаешь из чтения журнала «Хакер», видов уязвимостей не так уж много, и подходов к ним — тоже. Разработчики сайта Hacksplaining.com решили сделать полезное дело и каталогизировать все уязвимости. Мало того — они сочинили наглядное объяснение к каждой.
Начать лучше всего с регистрации — это вещь чисто символическая, и можно, к примеру, войти через аккаунт Facebook или GitHub. Дело в том, что до входа доступны уроки всего по четырем уязвимостям, а после — по всем двадцати. Среди них: SQL-инъекции, разные виды XSS, XML-бомбы, эскалация привилегий, кликджекинг и так далее. Все они связаны с вебом — вскрытие бинарников авторы сайта решили (пока что?) не рассматривать.
Для каждой из уязвимостей указано, насколько она часто встречается, как сложно ее эксплуатировать и каков уровень опасности. Но самое интересное — это, конечно, уроки, в ходе которых тебе практически на пальцах показывают, как эксплуатируются баги того или иного типа. Иногда даже попадаются интерактивные элементы — к примеру, тебе предлагают заполнить какое-нибудь поле или вписать кусочек кода.
К каждому из уроков приложена справка о том, как можно защититься от описанной уязвимости, а для самых прилежных есть тесты на закрепление материала. В общем, отличный учебник для тех, кто способен читать на английском. И даже если это не про тебя, сайт стоит того, чтобы попробовать разобраться со словарем.
