Hacksplaining представляет каталогизированный и наглядный онлайн-туториал по основным веб-уязвимостям. По каждой уязвимости представлено подробное описание, насколько часто встречается, как сложно ее эксплуатировать и уровень ее критичности. К каждой уязвимости приложено подробное описание, вектор эксплуатации, уязвимый код и рекомендации по устранению и защите.
Начать лучше всего с регистрации — это вещь чисто символическая, и можно, к примеру, войти через аккаунт Facebook или GitHub. Дело в том, что до входа доступны уроки всего по четырем уязвимостям, а после — по всем двадцати. Среди них: SQL-инъекции, разные виды XSS, XML-бомбы, эскалация привилегий, кликджекинг и так далее. Все они связаны с вебом — вскрытие бинарников авторы сайта решили (пока что?) не рассматривать.
Для каждой из уязвимостей указано, насколько она часто встречается, как сложно ее эксплуатировать и каков уровень опасности. Но самое интересное — это, конечно, уроки, в ходе которых тебе практически на пальцах показывают, как эксплуатируются баги того или иного типа. Иногда даже попадаются интерактивные элементы — к примеру, тебе предлагают заполнить какое-нибудь поле или вписать кусочек кода.
Онлайн туториал сделан довольно подробно и добротно и рекомендован к изучению в первую очередь разработчикам в качестве наглядного пособия «как не надо писать код.» Для специалистов по информационной безопасности это неплохая шпаргалка и средство визуализации веб-уязвимостей с хорошим описанием и пошаговой демонстрацией вектора атаки.