推荐序

推荐序

我投身信息安全产业领域已经有十五个年头了。过去我通过端口扫描,探测服务器的操作系统类型;防火墙出现后,我又转攻 Web 应用安全,结交了很多业内的顶级信息安全专家,与他们进行了大量的交流。

互联网的出现使得大家从传统的纸质信件传递转变为通过互联网电子邮件收发邮件;社交网络的出现,让我们得以通过互联网来结交更多的朋友。然而,我们在享受这些便利的同时,也承受着恶意钓鱼、跨站脚本攻击、恶意网马植入等风险。这些行为造成用户的信息泄漏,银行卡、信用卡信息被恶意盗刷,以致产生大量的经济损失。

通过国际权威的 Web 应用安全机构 OWASP 所发布的 TOP Ten,可以看出 Web 安全的重要性。现在全球有效的网络攻击中,基于 Web 的占 80% ,SQL 注入与跨站脚本攻击一直都位于 OWASP Top Ten 的前两名,这两种攻击通常都发生在 Web 应用当中。

本次受图灵公司的邀请,参与了本书的校译工作,在进行校译期间看到了赵文和刘斌两位译者深厚的日文专业技术功底,同时也深深地感受到了日本人工作的严谨,作者在书中为大家准备了详实的应用案例和代码。

我作为 OWASP 中国北京的负责人,有幸组织和参与了在中国区域内召开的信息安全峰会与亚洲应用安全峰会,发现国外的信息安全专家更善于总结。他们能通过有效的方法论有效地进行一些精尖技术的推广和学习,而国内的信息安全专家在介绍一些高精技术时一般只告知结果,而不介绍过程。

《Web 应用安全权威指南》这本书的作者是日本 Web 安全第一人,足见其编程功底之深厚。本书没有欧美作者的那些诙谐幽默的用语,更多的是严谨而实用的陈述。作者以 Web 应用的安全隐患为引子,将产生安全隐患的原因作为整个主线来描述,同时还生动地介绍了试验这些安全隐患的环境的搭建,以及缺陷代码的示例。同时本书又给大家做了很好的补充说明,讲述了 Web 安全的基础协议和原理,帮助读者打好 Web 安全的基本功。

最难能可贵的是,本书详尽地讲解了 SQL 注入、XSS、CSRF 等的基本原理,同时又增加了详尽的代码解析。这是一本难得的 Web 应用安全指南。无论你是 Web 安全的爱好者,还是研究者,都可以将它作为一本很好的参考书籍。个人建议一些高校的学生通过学习本书,实现从 Web 安全的基础入门到精通。

OWASP 中国北京区负责人、51CTO 信息安全专家

陈亮(OWASP 子明)

目录

  • 推荐序
  • 译者序
  • 前言
  • 谢辞
  • 第 1 章 什么是 Web 应用的安全隐患
  • 第 2 章 搭建试验环境
  • 第 3 章 Web 安全基础 :HTTP、会话管理、同源策略
  • 第 4 章 Web 应用的各种安全隐患
  • 第 5 章 典型安全功能
  • 第 6 章 字符编码和安全
  • 第 7 章 如何提高 Web 网站的安全性
  • 第 8 章 开发安全的 Web 应用所需要的管理