作者简介
Tobias Klein,安全问题研究员,创办NESO安全实验室,NESO是一家位于德国海尔布伦的信息安全咨询、研究公司。身为安全漏洞研究人员,Tobias发现了许多安全漏洞,并帮助修复它们。他也出版了另外两本信息安全领域的著作,由海德堡的出版商dpunkt在德国发行。

这本书在亚马逊上有21个评论:
★★★★★ 13个
★★★★ 8个

亚马逊书评
1. 切中要害
评分:★★★★★
有用:10/10
作者:Happy Cat
这本书短小精悍,阅读体验极佳。它不像其它一些书那样包罗万象,譬如《The Art Of Software Security Assessment》,这一整本《捉虫日记》几乎都是很有价值的内容。

每一章,作者完美地展示了如何走查发现漏洞,并且以直接、易懂的方式解释了思考的过程。简要列举了合理的漏洞披露途径,很好地解释了为什么捉虫人会穷尽其能。最后,很高兴能看到作者跟踪补丁包并确定所产生的漏洞。

Tobias Klein以简洁的方式全面、详细地介绍了他发现这些漏洞的过程。他准确地切中要害,不断地剖析、研究易受攻击的代码,用合适的条件和数据来触发这些代码。

对比每一章里披露漏洞时间线的差异也是一件很有趣的事情。中立地说,开源项目打补丁的速度远快于那些由庞大组织经营的项目。不确定作者是否故意这样安排,但终归是很有趣的。

这是一个简短但有趣的阅读体验,适合任何对漏洞分析和漏洞利用程序开发有兴趣的朋友。

2. 一本引人入胜的研究书籍
评分:★★★★★
作者:bobblestiltskin
读这本书让我受益匪浅。作者知识面之广、研究之深给我留下深刻印象。每一章都专注在一个不同的操作系统上,介绍一个新的分析技术。

作者的写作风格也很吸引人——每当我坐下开始阅读,就很难放手。阅读此书就好像坐在Tobias的肩上,看他明确目标,然后一步步实现,获取对软件的控制。

必须加一句免责声明,我是从出版社收到审读副本的。但是我很高兴做出这个选择!

3. 优点:很快能读完。缺点:太快就读完。
评分:★★★★
有用:2/2
作者:Tod Beardsley "Security Dork"
全面披露:我收到这本书的审校副本。

所以本书的重点是它可以很快读完,但令人沮丧的是它太短了。我喜欢作者Tobias和NoStarch出版社对这本书的设计安排——每一章都详细(并不过分)地介绍一个作者独立发现的具体的bug。对话式的行文,井井有条,因此如果你有捉虫和调试方面的背景,不会遇到什么问题。

如果你是在寻找一本教你如何通过寻找0day漏洞赚钱的书,这本书不是。如果你是在寻找这样一本书,用实例讲解你在别处读到的漏洞研究技术,选这本书就对了。

我的抱怨主要是关于篇幅——实在是太快就读完了。我希望能再增加五、六章,内容涉及封闭源代码的Windows客户端应用程序。

4. 发表在Ask Felgall上的书评
评分:★★★★
有用:5/5
作者:Stephen Chapman
阅读这本书会永久地改变你对计算机软件的看法。书中所讨论的安全漏洞都是在现实世界中各种平台上极流行软件中发现的,通过几个例子清晰地展示了大多数软件中通常都会有的这些漏洞。

要想完全理解这本书的内容,需要掌握相当高水准的编程知识,包括高级编程语言譬如C++和底层汇编语言。当然,这不是必须的,任何知识背景的读者都能从中有所收获。书中非常详细地介绍了每一处代码的更改,没有深厚编程知识背景的读者也能容易理解,如此改变代码会导致特定的结果,并能更好地理解软件有多脆弱。毕竟这都是作者在常用软件里找到的真实漏洞。作者在演示发现并利用漏洞的一些方法的同时,也展示了他是如何帮助软件开发者给漏洞打上补丁的。

也许这本书中关于软件安全话题最突出的是一个有经验的捉虫人是多么容易发现一个安全漏洞,其次是修复一个安全漏洞往往只需要修改一小处代码。

作者在书的开头介绍了写作本书的目的,他确实做到了。阅读时我注意到作者的一句评论:“一台崭新的MacBook:1,149美元。一台LED影院显示器:899美元。仅用11行代码让Mac OS X系统崩溃:无价”。实际上那段代码有3个空行,而且如果换一种编码风格的话还可以减少几行,在我看来那段代码是6行或者甚至是5行,而不是11行。