Na tropie błędów. Przewodnik hakerski. Peter Yaworski
Читать онлайн книгу.e oryginału
Copyright © 2019 by Peter Yaworski. Title of English-language original: Real-World Bug Hunting: A Field Guide to Web Hacking, ISBN 978-1-59327-861-8, published by No Starch Press. Polish-language edition copyright © 2020 by Polish Scientific Publishers PWN Wydawnictwo Naukowe PWN Spółka Akcyjna. All rights reserved.
Przekład Kacper Paluch
Projekt okładki polskiego wydania Hubert Zacharski na podstawie oryginału
Wydawca Edyta Kawala
Redaktor prowadzący Jolanta Kowalczuk
Redaktor Anna Bogdanienko
Koordynator produkcji Anna Bączkowska
Konsultacja merytoryczna
Kamil Frankowicz
Zastrzeżonych nazw firm i produktów użyto w książce wyłącznie w celu identyfikacji.
Copyright © for the Polish edition by Wydawnictwo Naukowe PWN SA
Warszawa 2020
ISBN 978-83-01-21051-9
eBook został przygotowany na podstawie wydania papierowego z 2020 r., (wyd. I)
Warszawa 2020
Wydawnictwo Naukowe PWN SA
02-460 Warszawa, ul. Gottlieba Daimlera 2
tel. 22 69 54 321, faks 22 69 54 288
infolinia 801 33 33 88
e-mail: [email protected]; [email protected]
Haker Peter Yaworski jest samoukiem dzięki hojnemu dzieleniu się wiedzą przez tak wielu hakerów, którzy zjawili się przed nim, również tych, o których mowa w książce. Jest on doświadczonym bug hunterem, który pomógł takim firmom, jak: Salesforce, Twitter, Airbnb, Verizon Media, United States Department of Defense i wielu innym. Obecnie pracuje w Shopify jako inżynier do spraw bezpieczeństwa, czyniąc handel elektroniczny bezpieczniejszym.
Tsang Chi Hong, znany również jako FileDescriptor, jest pentesterem i bug hunterem. W wolnym czasie pisze bloga o tematyce bezpieczeństwa na https://blog.innerht.ml, lubi słuchać muzyki filmowej.
PRZEDMOWA
Najlepszym sposobem nauki jest zwyczajna praktyka. W ten właśnie sposób nauczyliśmy się hakować.
Byliśmy młodzi. Podobnie jak wszyscy hakerzy, którzy przyszli przed nami, oraz ci, którzy przyjdą po nas, byliśmy napędzani niekontrolowaną, płonącą ciekawością odkrywania „jak to działa”. Początkowo graliśmy w gry komputerowe, a w wieku 12 lat rozpoczęliśmy naukę tworzenia własnego oprogramowania. Nauczyliśmy się programować w Visual Basic oraz PHP z książek z biblioteki oraz własnej praktyki.
Z naszą znajomością tworzenia oprogramowania szybko zauważyliśmy, że te umiejętności pozwalają dostrzegać błędy innych programistów. Przeszliśmy z tworzenia do niszczenia, a hacking od tej pory stał się naszą pasją. W celu uczczenia zakończenia szkoły średniej przejęliśmy kanał telewizyjny i wyemitowaliśmy własną reklamę gratulującą naszej klasie ukończenia szkoły. Choć w tamtym momencie było to zabawne, szybko spotkaliśmy się z konsekwencjami i dowiedzieliśmy się, że nie jesteśmy hakerami, których świat potrzebuje. Zarówno szkole, jak i stacji telewizyjnej nie było do śmiechu, przez co spędziliśmy wakacje, myjąc okna w ramach kary. W college’u zamieniliśmy nasze umiejętności w rentowną firmę konsultacyjną, która w szczytowym momencie miała klientów w sektorach publicznych oraz prywatnych na całym świecie. Nasze doświadczenie hakerskie doprowadziło do powstania firmy HackerOne, którą założyliśmy razem w 2012 roku. Naszą misją do dziś jest umożliwić każdej firmie na świecie pomyślną współpracę z hakerami.
Jeśli to czytasz, również masz ciekawość niezbędną do zostania hakerem oraz bug hunterem. Wierzymy, że ta książka będzie wspaniałym przewodnikiem podczas Twojej podróży. Jest wypełniona wartościowymi i prawdziwymi przykładami zgłoszeń podatności bezpieczeństwa, które pochodzą z prawdziwych programów bug bounty, wraz z pomocną analizą i przeglądem dokonanym przez Pete Yaworskiego, autora i znajomego hakera. Podczas nauki będzie Twoim nieocenionym towarzyszem.
Innym powodem, dla którego ta książka jest tak ważna, jest to, że skupia się na zostaniu hakerem wykorzystującym swoje umiejętności w sposób etyczny. Opanowanie sztuki hakowania potrafi być wyjątkowo potężną umiejętnością, która – mamy nadzieję – będzie wykorzystywana w dobrych celach. Najlepsi hakerzy wiedzą, jak nawigować cienką linią oddzielającą dobre od złego. Wielu ludzi potrafi psuć rzeczy, a niektórzy nawet próbują na tym zarabiać. Wyobraź sobie jednak, że możesz uczynić internet bezpieczniejszym, pracować z firmami dookoła świata, a w dodatku na tym zarabiać. Twój talent pozwala utrzymać miliardy ludzi oraz ich dane w bezpiecznym miejscu. Mamy nadzieję, że dążysz właśnie do tego.
Jesteśmy niezmiernie wdzięczni Pete’owi za jego poświęcenie się w dokumentowaniu tego wszystkiego w tak okazały sposób. Chcielibyśmy mieć dostęp do takich materiałów, kiedy zaczynaliśmy. Książka Pete’a to prawdziwa przyjemność w czytaniu, która zawiera informacje niezbędne do rozpoczęcia podróży w hakowaniu.
Udanej lektury i udanego hakowania!
Pamiętaj, aby hakować odpowiedzialnie.
PODZIĘKOWANIA
Bez społeczności HackerOne ta książka nigdy by nie powstała. Chcę podziękować dyrektorowi naczelnemu HackerOne, Mårtenowi Mickosowi, który skontaktował się ze mną, kiedy zacząłem pracę nad tą książką. Nieustannie dostarczał mi swoje opinie i pomysły na ulepszenie książki, a nawet zapłacił za profesjonalną okładkę samodzielnie wydanej wersji.
Chcę również podziękować współzałożycielom HackerOne, Michielowi Prinsowi oraz Jobertowi Abmie, którzy przedstawiali sugestie oraz przyczyniali się do powstawania niektórych rozdziałów, kiedy pracowałem nad wczesnymi wersjami tej książki. Jobert dokonał dogłębnej analizy, redagując każdy rozdział, aby dostarczyć informacje zwrotne i spostrzeżenia techniczne. Jego praca zwiększyła moją pewność siebie i nauczyła mnie więcej niż kiedykolwiek zdawałem sobie sprawę, że jest to możliwe.
Ponadto, Adam Bacchus przeczytał książkę pięć dni po dołączeniu do HackerOne, wprowadził poprawki i opisał swoje wrażenia po przeczytaniu zgłoszeń podatności, które pomogły mi w tworzeniu rozdziału 19. HackerOne nigdy nie prosił o nic w zamian. Jedyne czego platforma chciała, to wspieranie społeczności hakerów, czyniąc tę książkę możliwie jak najlepszą.
Byłbym samolubny, gdybym osobno nie podziękował Benowi Sadeghipourowi, Patrikowi Fehrenbachowi, Fransowi Rosenowi, Philippe’owi Harewoodowi, Jasonowi Haddixowi, Arne’owi Swinnenowi, FileDescriptorowi i wszystkim innym, którzy na początku pomagali mi rozmową o hakowaniu, dzielili się swoją wiedzą i zachęcali. Dodatkowo ta książka nie powstałaby bez hakerów, którzy udostępniają swoją wiedzę i upubliczniają błędy, a szczególnie tych, których znalezione błędy wykorzystuję w książce. Dziękuję wam wszystkim.
Wreszcie, nie byłbym w miejscu, w którym jestem dziś, bez wsparcia i miłości ze strony mojej żony i dwóch córek. To właśnie dzięki nim odniosłem sukces w hakowaniu i byłem w stanie dokończyć pisanie tej książki. I oczywiście wielkie podziękowania dla reszty rodziny, szczególnie dla moich rodziców, którzy odmówili mi kupna systemów Nintendo, gdy dorastałem, a zamiast nich kupowali komputery i powtarzali,