《Web应用安全权威指南》出版后记

《Web应用安全权威指南》终于出版了,从开始翻译到上市,历时近一年。这期间,译者,尤其是图灵的编辑都付出了巨大的努力。当然,只有获得读者的承认,所有人的努力才不算浪费。

我也是今天刚拿到纸版的书,从印刷质量上来说,还挺不错,字体正合适阅读,封面设计的也很好看;纸质也不错,虽然有点重,不过只有不到400页,拿在手里正好。关键是,价钱也不贵,大概60左右的样子,貌似China-Pub59块多。

如果书中有什么不对的地方,也希望读者能直接和图灵或者译者联系。

1. 关于图灵和本书

首先,我个人认为这本书的主要面向用户为:初中级水平的开发人员,对安全感兴趣又不是特别深入的人;以及经验相对丰富又想做些查漏补缺的人。

这本书主要是面向开发人员的,意在帮助大家开发安全的Web应用,而不是让你成为黑客或者专业的安全人员。

此外,本书除了全世界共通的技术语言之外,中日之间不同的开发方式,IT背景也能帮我们开阔眼界, 促使我们去考虑一些之前没人去考虑的方面。也许有些东西在国内不现实或者不实用,由于译者能力有限,未能全部按照国内情况改写,深感内疚。

再介绍下原作者德丸浩(Twitter ID:@ockeghem https://twitter.com/ockeghem)。2008年创立HASH咨询公司,任董事长。主要从事网络安全性的诊断与咨询工作,并在工作之余通过博客普及网络安全知识。兼任KYOCERA Communication Systems股份有限公司技术顾问、独立行政法人信息处理推进机构(IPA)客座研究员,活跃于日本安全业界。说到IPA,这是在日本非常权威厉害的IT部门,他们除了举办类似国内的程序员、系统分析员等考试之外,还和有很多非常实用的机构和功能,比如没年的开源大奖,未踏(即还没有人踏入过的领域、技术)大奖等,非常贴近实际产业现状和需求。而KYOCERA,即京瓷,则是最近在中国很火的日本管理大师稻盛和夫所创办的企业。

2. 本书内容

本书共分8章,分别是:

第1章 什么是 Web应用的安全隐患

本章是入门引子,非常简短,主要是介绍了什么什么是Web应用中的安全问题,及其出现原因。并提出安全性bug和安全性功能两个概念。

第2章 搭建试验环境

本章介绍了如何安装书中演示例子的环境,包括虚拟机和调试工具Fiddler等。

本书还附带了一个VMware Player虚拟机,里面是一个简单的Web运行环境,功能不比大多数小网站少,非常方便大家亲手进行实践,包括Apache/PHP/邮件服务等。不过遗憾的是里面环境有些是日文的,大家可以和书对照着看。

整个环境可以从http://www.ituring.com.cn/book/1249中的“随书下载”菜单下下载。

第3章 Web 安全基础:HTTP、会话管理、同源策略

可以认为这章是进入后续章节的入门预习,主要介绍了HTTP原理和会话功能。以及主动攻击和被动攻击,及同源策略。

什么是HTTP,URL的结构式怎样的,一个网页请求都会有哪些网络传输?HTTP请求和返回的各字段都是什么意思?GET和POST的区别等等问题,以及现代Web赖以生存的Cookie和Session机制及安全问题,本章都进行了详细的说明。

本章后半部分,对被动攻击和同源策略进行了具体的介绍。

第4章 Web应用的各种安全隐患

这是本书中分量最重的一章,因为它介绍了现代Web安全的最重要3个问题:XSS,SQL注入和CSRF。除此之外,还有一些可能会被我们忽略的小问题,比如重定向问题,邮件发送问题,调用OS命令等问题。

第5章 典型安全功能

本章主要对为了保护系统安全所编写的安全性功能相关的最佳实践,主要就是账号管理、认证授权,最后也介绍了日志管理。

比如说错误消息提示,如果登录的时候email并没有在应用中注册,那么错误消息怎么显示?是“该用户不存在”,还是“登录出错”?这个大难,还是留给各位在阅读本书时自己思考吧。

第6章 字符编码和安全

什么,字符编码还会导致安全问题?提到字符编码,你一定想首先,或者只会想到令人头痛的乱码问题;而实际上,字符编码确实是能引起安全隐患的,这根OS,所用语言、页面编码等都有关系,不过作为结论来说,不管从B格还是安全上考虑,都用UTF-8吧。

第7章 如何提高 Web网站的安全性

本章则主要从系统管理和运维的角度来审视如何提高Web网站的安全性。包括如何提高主机安全性,避免域名相关的攻击,以及通过导入SSL等增强系统安全性等内容。

第8章 开发安全的 Web应用所需要的管理

从管理上重视安全,将安全提高到企业级高度,这是国内开发商和公司需要提高的地方。尤其是在承包合同中,甲方乙方应该各自注意什么问题,应该履行什么义务等,本章都进行了简单介绍,相信的开发人员,尤其是负责管理管理工作的开发人员,都有一定的参考意义。

安全就是要防患未然,与其从技术入手,从管理和人入手都是一个简单低成本的途径。

3. 相关书籍

最后,再来简单的和其他一些本人看过的书籍做些对比。这两本书我都买了,也都读过,都非常不错。三本书虽然可以称得上是同一类别(至少书店里应该会摆一块吧),但是彼此侧重不同,重合的地方不多,将三本书结合起来看反而更相得益彰,对Web安全的认识也将更系统化和全面。

《Web之困:现代Web应用安全指南》:介绍了非常基础和科学的东西,重点从浏览器和HTTP协议上对安全问题进行了阐述,非常基础的技术,细致周密的讲述。

《白帽子讲Web安全》:介绍的内容非常全面,更接近于本书的内容和难易程度。

本书《Web应用安全权威指南》则非常专注于:Web安全和开发,没有涉及过多的额外内容,比如不想一些国内的其他书籍多多少少会“攒”些相关资料。如果用一个词来形容的话,我想应该是“实用”。

4. 广告时间:

《Web应用安全权威指南》购买地址:
亚马逊:http://www.amazon.cn/Web应用安全权威指南-日-徳丸浩/dp/B00NZNYT0G

互动出版(China-pub):http://product.china-pub.com/3770588

京东:http://item.jd.com/11553708.html

当当:http://product.dangdang.com/23575372.html

最后,再次对图灵的编辑,OWASP的子明表示深深的感谢。



Posted in 生活, Tech

无觅相关文章插件,快速提升流量