前言

前言

近年来,利用 Web 应用存在的安全隐患(即所谓的“漏洞”)展开攻击的案例层出不穷,受害者也与日俱增。虽说只要消除安全隐患就能够杜绝这些攻击,但这就需要 Web 应用开发人员掌握正确的安全性方面的知识。

目前,网络上充斥着大量关于安全性的信息,但多数内容都只是流于表面,无法解答开发人 员的困惑。具体来说,主要存在以下几点疑问。

  • 为什么会产生安全隐患

  • 安全隐患会产生什么样的影响

  • 如何编程才能消除安全隐患

  • 为什么某些方法能够消除安全隐患

而本书就是为了解答这些疑问而创作的。为此,从安全隐患产生的原理到具体的对策,以及采用该对策的根据,本书都将尽可能地详细讲述。本书的目标读者包括程序员、设计师、项目经理、质量管理负责人等参与 Web 应用开发的全部人员。另外,本书也会站在 Web 应用的发包方(甲方)的立场上,尽可能地为其提供有用的信息。

虽然本书面向的是开发人员,但对攻击的手段也做了详细的解说。目的就是为了能够让读者切实感受到安全隐患所造成的影响。但有一点需要注意的是,如果没有得到网站管理员的许可就尝试实施攻击的话,就有可能会触犯相关的法律法规。由于非专业人员很难判断自己的行为是否违法,因此,请不要在没有得到许可的情况下攻击正式的网站。

为了让读者能够放心地体验攻击流程,本书提供了在 VMware Player 的虚拟机环境中尝试安全隐患攻击的方法。希望读者能够通过亲自动手,来加深对安全隐患的理解。

最后,虽然本书中的示例代码主要使用了 PHP 语言,但讲述的内容对其他语言也是同样适用的。

目录

  • 推荐序
  • 译者序
  • 前言
  • 谢辞
  • 第 1 章 什么是 Web 应用的安全隐患
  • 第 2 章 搭建试验环境
  • 第 3 章 Web 安全基础 :HTTP、会话管理、同源策略
  • 第 4 章 Web 应用的各种安全隐患
  • 第 5 章 典型安全功能
  • 第 6 章 字符编码和安全
  • 第 7 章 如何提高 Web 网站的安全性
  • 第 8 章 开发安全的 Web 应用所需要的管理