1.1　漏洞和漏洞懸賞

漏洞是應用程序中的一個弱點，它允許惡意用戶執行某些未經許可的操作或獲取訪問信息的權限，若不存在漏洞，他們將被禁止訪問這些信息。

在學習和測試應用程序時，請記住：攻擊者執行有意或無意的操作都可能會導致漏洞，例如更改記錄標識符的ID以訪問不應該訪問的信息。

假設一個網站允許創建一份個人資料，其中包括姓名、電子郵件、生日和地址，你的私人信息只會分享給你的朋友。但如果網站允許任何人加你為好友并且不需要你的同意，這將是一個漏洞。盡管網站將你的信息對非好友保密，但允許任何人加你為好友，就意味著他們將都可以訪問你的信息。當你測試一個站點時，一定要考慮別人是如何濫用現有功能的。

漏洞懸賞是某個網站或公司給予發現漏洞并將其報告給該網站或公司的人的一種獎勵。獎勵通常是錢，從幾十美元到數萬美元不等。除了錢之外，獎勵也可能是加密貨幣、航空里程、獎勵積分、服務積分等。

當一家公司提供漏洞懸賞時，為了那些想測試公司漏洞的人，公司會創建一個項目，在本書中，我們將使用“項目”這一詞表示公司制定的規則和框架。請注意，這與操作漏洞披露程序（VDP）的公司不同。漏洞懸賞會提供一些獎金，而VDP是不提供報酬的（盡管個別公司可能會給獎勵），因為VDP只是白帽黑客向公司報告漏洞以供公司修復的一種方法。雖然本書中并不是所有的報告都得到了回報，但它們都是黑客參與漏洞懸賞計劃的例子。