译者序

译者序

2011 年,索尼遭受了 3 次大规模攻击,造成 7700 万 PlayStation Network(PSN)用户的个人信息泄漏。攻击令 PSN 网络服务瘫痪了 23 天,给索尼造成了上亿美元的经济损失。

2011 年 12 月,国内知名开发者社区 CSDN 遭到攻击,600 万用户账号及明文密码泄漏并在网络上被大量传播。

2013 年 3 月,全球知名的云笔记应用 Evernote 遭到攻击,导致 5000 万用户的邮箱地址和加密密码泄漏。

写下这篇文字时,又正值全球最大的众筹网站 Kickstarter 被攻击而导致用户信息被窃取。

一件件触目惊心的事件无一不在提醒着我们网络安全的重要性。造成这些事件的罪魁祸首或许只是代码中一些不起眼的地方,但引发的影响及后果却骇人听闻。掌握如何在编程时不引入漏洞已成为了 Web 应用开发者不可或缺的技能。

然而,当开发者想要系统性地学习 Web 应用安全时,却发现市面上充斥着以攻击者的视角写作的“XX 攻防大全”等书籍,却鲜有站在开发者立场的优秀的权威性书籍可供参考。图灵公司引进的这本《Web 应用安全权威指南》正好填补了这一领域的空缺。

“在那本‘德丸本’中有透彻的讲解。”这是译者在日本工作期间,向同事询问“什么是 CSRF”时得到的答复。没错,“德丸本”就是本书在日本的昵称,几乎在每个 Web 开发小组的案头都能发现它的身影。

本书的作者德丸浩先生在日本被誉为“Web 应用安全领域第一人”,他在经营着一家 Web 安全咨询公司的同时,还在博客上笔耕不辍,孜孜不倦地分享着自己 Web 安全方面的知识,得此称号可谓实至名归。这本书是目前为止德丸浩先生出版的唯一一本图书,可以说是从业多年的经验沉淀下来的精华。

看过日系技术书的读者,一定会对其通俗易懂、深入浅出、谦虚谨慎等特点印象深刻,本书也不例外。SQL 注入、XSS、CSRF 等对于 Web 开发人员来说耳熟能详却可能一知半解的术语,都将在这本书中详细剖析。本书既适合从头到尾通读来进行系统性学习,也适合作为参考书时常查阅。

最后,再一次感谢图灵文化的编辑们能将这本书引入到国内。感谢另一位译者刘斌的辛勤付出,使得本书能够成功地问世。还要感谢妻子马超对我使用业余时间进行翻译工作的鼓励和支持。

希望本书能够让您受益。

赵文

2014 年 2 月于无锡

目录

  • 推荐序
  • 译者序
  • 前言
  • 谢辞
  • 第 1 章 什么是 Web 应用的安全隐患
  • 第 2 章 搭建试验环境
  • 第 3 章 Web 安全基础 :HTTP、会话管理、同源策略
  • 第 4 章 Web 应用的各种安全隐患
  • 第 5 章 典型安全功能
  • 第 6 章 字符编码和安全
  • 第 7 章 如何提高 Web 网站的安全性
  • 第 8 章 开发安全的 Web 应用所需要的管理