提示: 此文件暂无参考内容, 请自行判断再确认下载!!
作者很懒没有写任何内容
白帽子讲Web安全
吴翰清 ⊙著
Publishing House of Electronics Industry
北京·BEIJING
内 容 简 介 互联网时代的数据安全与个人隐私受到前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全(纪念版)》将带你走进Web安全的世界,让你了解Web安全的方方面面。黑客不再神秘,攻击技术原来如此,小网站也能找到适合自己的安全道路。大公司如何做安全,为什么要选择这样的方案呢?在《白帽子讲Web安全(纪念版)》中都能找到答案。详细的剖析,让你不仅能“知其然”,更能“知其所以然”。 《白帽子讲Web安全(纪念版)》根据安全宝副总裁吴翰清之前在顶级互联网公司若干年的实际工作经验而写成,在解决方案上具有极强的可操作性;深入分析诸多错误的方法及误区,对安全工作者有很好的参考价值;对安全开发流程与运营的介绍,同样具有深刻的行业指导意义。《纪念版》与前版内容相同,仅为纪念原作以多种语言在全球发行的特殊版本,请读者按需选用。 未经许可,不得以任何方式复制或抄袭本书之部分或全部内容。 版权所有,侵权必究。 图书在版编目(CIP)数据 白帽子讲Web安全:纪念版/吴翰清著. —北京:电子工业出版社,2014.6 ISBN 978-7-121-23410-1 Ⅰ. ①白… Ⅱ. ①吴… Ⅲ. ①互联网络—安全技术 Ⅳ. ①TP393.408 中国版本图书馆CIP数据核字(2014)第118039号 策划编辑:张春雨 责任编辑:张春雨 印 刷:北京东光印刷厂 装 订:三河市皇庄路通装订厂 出版发行:电子工业出版社 北京市海淀区万寿路173信箱 邮编100036 开 本:787×1092 1/16 印张:28 字数:716千字 版 次:2014年6月第1版 印 次:2014年6月第1次印
刷 印 数:4000册 定价:69.00元 凡所购买电子工业出版社图书有缺损问题,请向购买书店调换。若书店售缺,请与本社发行部联系,联系及邮购电话:(010)88254888。 质量投诉请发邮件至zlts@phei.com.cn,盗版侵权举报请发邮件至dbqq@phei.com.cn。 服务热线:(010)88258888。
序言
2012年农历春节,我回到了浙西的老家,外面白雪皑皑。在这与网络隔离的小乡村里,在这可以夜不闭户的小乡村里,过着与网络无关、与安全无关的生活,而我终于可以有时间安安静静拜读吴翰清先生的这本大作了。 认识吴翰清先生源于网络、源于安全,并从网络走向生活,成为朋友。他对于安全技术孜孜不倦的研究,使得他年纪轻轻便成为系统、网络、Web等多方面安全的专家;他对于安全技术的分享,创建了“幻影旅团”(ph4nt0m.org)组织,培养了一批安全方面的技术人才,并带动了整个行业的交流氛围;他和同事在大型互联网公司对安全方面的不断实践,全面保护着阿里巴巴集团的安全;他对于安全的反思和总结并发布在他的博客上,使得我们能够更为深入地理解安全的意义,处理安全问题的方法论。而今天,很幸运,我们能系统的地看到吴翰清先生多年在大型互联网公司工作实践、总结反思所积累的安全观和Web安全技术。 中国人自己编写的安全专著不多,而在这为数不多的书中,绝大部分也都是“黑客攻击”速成手册。这些书除了在技术上仅立足于零碎的技术点、工具使用手册、攻击过程演示,不系统之外,更为关键的是,它们不是以建设者的角度去解决安全问题。吴翰清先生是我非常佩服的“白帽子”,他和一群志同道合的朋友,一直以建设更安全的互联网为己任,系统地研究安全,积极分享知识,为中国的互联网安全添砖加瓦。而这本书也正是站在白帽子的视角,讲述Web安全的方方面面,它剖析攻击原理,目的是让互联网开发者、技术人员了解原理,并通过自身的实践,告诉大家分析这些问题的方法论、思想以及对应的防范方案。 最让我共鸣的是“安全运营”的思路,我相信这也是吴翰清先生这么多年在互联网公司工作的最大收获之一,因为运营是互联网公司的最大特色和法宝。安全是一个动态的过程,因为敌方攻击手段在变,攻击方法在变,漏洞不断出现;我方业务在变,软件在变,人员在变,妄图通过一个系统、一个方案解决所有的问题是不现实的,也是不可能的,安全需要不断地运营、持续地优化。 瑞雪兆丰年,一直在下的雪预示着今年的丰收。我想在经历了2011年中国互联网最大安全危机之后,如白雪一样纯洁的《白帽子讲Web安全》应该会给广大的从事互联网技术人员带来更多的帮助,保障中国互联网的安全,迎来互联网的又一个春天。 季昕华 Benjurry
前言
在2010年年中的时候,博文视点的张春雨先生找到我,希望我可以写一本关于云计算安全的书。当时云计算的概念正如日中天,但市面上关于云计算安全应该怎么做却缺乏足够的资料。我由于工作的关系接触这方面比较多,但考虑到云计算的未来尚未清晰,以及其他的种种原因,婉拒了张春雨先生的要求,转而决定写一本关于Web安全的书。
我的安全之路
我对安全的兴趣起源于中学时期。当时在盗版市场买到了一本没有书号的黑客手册,其中coolfire
1
的黑客教程令我印象深刻。此后在有限的能接触到互联网的机会里,我总会想方设法地寻找一些黑客教程,并以实践其中记载的方法为乐。 在2000年的时候,我进入了西安交通大学学习。在大学期间,最大的收获,是学校的计算机实验室平时会对学生开放。当时上网的资费仍然较贵,父母给我的生活费里,除了留下必要的生活所需费用之外,几乎全部投入在这里。也是在学校的计算机实验室里,让我迅速在这个领域中成长起来。 大学期间,在父母的资助下,我拥有了自己的第一台个人电脑,这加快了我成长的步伐。与此同时,我和一些互联网上志同道合的朋友,一起建立了一个技术型的安全组织,名字来源于我当时最喜爱的一部动漫:“幻影旅团”(ph4nt0m.org)。历经十余载,“幻影”由于种种原因未能得以延续,但它却曾以论坛的形式培养出了当今安全行业中非常多的顶尖人才。这也是我在这短短二十余载人生中的最大成就与自豪。 得益于互联网的开放性,以及我亲手缔造的良好技术交流氛围,我几乎见证了全部互联网安全技术的发展过程。在前5年,我投入了大量精力研究渗透测试技术、缓冲区溢出技术、网络攻击技术等;而在后5年,出于工作需要,我把主要精力放在了对Web安全的研究上。
加入阿里巴巴
发生这种专业方向的转变,是因为在2005年,我在一位挚友的推荐下,加入了阿里巴巴。加入的过程颇具传奇色彩,在面试的过程中主管要求我展示自己的能力,于是我远程关闭了阿
1 Coolfire,真名林正隆,台湾著名黑客,中国黑客文化的先驱者。
里巴巴内网上游运营商的一台路由设备,导致阿里巴巴内部网络中断。事后主管立即要求与运营商重新签订可用性协议。 大学时期的兴趣爱好,居然可以变成一份正经的职业(当时很多大学都尚未开设网络安全的课程与专业),这使得我的父母很震惊,同时也更坚定了我自己以此作为事业的想法。 在阿里巴巴我很快就崭露头角,曾经在内网中通过网络嗅探捕获到了开发总监的邮箱密码;也曾经在压力测试中一瞬间瘫痪了公司的网络;还有好几次,成功获取到了域控服务器的权限,从而可以以管理员的身份进入任何一位员工的电脑。 但这些工作成果,都远远比不上那厚厚的一摞网站安全评估报告让我更有成就感,因为我知道,网站上的每一个漏洞,都在影响着成千上万的用户。能够为百万、千万的互联网用户服务,让我倍感自豪。当时,Web正在逐渐成为互联网的核心,Web安全技术也正在兴起,于是我义无返顾地投入到对Web安全的研究中。 我于2007年以23岁之龄成为了阿里巴巴集团最年轻的技术专家。虽未有官方统计,但可能也是全集团里最年轻的高级技术专家,我于2010年获此殊荣。在阿里巴巴,我有幸见证了安全部门从无到有的建设过程。同时由于淘宝、支付宝草创,尚未建立自己的安全团队,因此我有幸参与了淘宝、支付宝的安全建设,为他们奠定了安全开发框架、安全开发流程的基础。
对互联网安全的思考
当时,我隐隐地感觉到了互联网公司安全,与传统的网络安全、信息安全技术的区别。就如同开发者会遇到的挑战一样,有很多问题,不放到一个海量用户的环境下,是难以暴露出来的。由于量变引起质变,所以管理10台服务器,和管理1万台服务器的方法肯定会有所区别;同样的,评估10名工程师的代码安全,和评估1000名工程师的代码安全,方法肯定也要有所不同。 互联网公司安全还有一些鲜明的特色,比如注重用户体验、注重性能、注重产品发布时间,因此传统的安全方案在这样的环境下可能完全行不通。这对安全工作提出了更高的要求和更大的挑战。 这些问题,使我感觉到,互联网公司安全可能会成为一门新的学科,或者说应该把安全技术变得更加工业化。可是我在书店中,却发现安全类目的书,要么是
吴翰清 ⊙著
Publishing House of Electronics Industry
北京·BEIJING
内 容 简 介 互联网时代的数据安全与个人隐私受到前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全(纪念版)》将带你走进Web安全的世界,让你了解Web安全的方方面面。黑客不再神秘,攻击技术原来如此,小网站也能找到适合自己的安全道路。大公司如何做安全,为什么要选择这样的方案呢?在《白帽子讲Web安全(纪念版)》中都能找到答案。详细的剖析,让你不仅能“知其然”,更能“知其所以然”。 《白帽子讲Web安全(纪念版)》根据安全宝副总裁吴翰清之前在顶级互联网公司若干年的实际工作经验而写成,在解决方案上具有极强的可操作性;深入分析诸多错误的方法及误区,对安全工作者有很好的参考价值;对安全开发流程与运营的介绍,同样具有深刻的行业指导意义。《纪念版》与前版内容相同,仅为纪念原作以多种语言在全球发行的特殊版本,请读者按需选用。 未经许可,不得以任何方式复制或抄袭本书之部分或全部内容。 版权所有,侵权必究。 图书在版编目(CIP)数据 白帽子讲Web安全:纪念版/吴翰清著. —北京:电子工业出版社,2014.6 ISBN 978-7-121-23410-1 Ⅰ. ①白… Ⅱ. ①吴… Ⅲ. ①互联网络—安全技术 Ⅳ. ①TP393.408 中国版本图书馆CIP数据核字(2014)第118039号 策划编辑:张春雨 责任编辑:张春雨 印 刷:北京东光印刷厂 装 订:三河市皇庄路通装订厂 出版发行:电子工业出版社 北京市海淀区万寿路173信箱 邮编100036 开 本:787×1092 1/16 印张:28 字数:716千字 版 次:2014年6月第1版 印 次:2014年6月第1次印
刷 印 数:4000册 定价:69.00元 凡所购买电子工业出版社图书有缺损问题,请向购买书店调换。若书店售缺,请与本社发行部联系,联系及邮购电话:(010)88254888。 质量投诉请发邮件至zlts@phei.com.cn,盗版侵权举报请发邮件至dbqq@phei.com.cn。 服务热线:(010)88258888。
序言
2012年农历春节,我回到了浙西的老家,外面白雪皑皑。在这与网络隔离的小乡村里,在这可以夜不闭户的小乡村里,过着与网络无关、与安全无关的生活,而我终于可以有时间安安静静拜读吴翰清先生的这本大作了。 认识吴翰清先生源于网络、源于安全,并从网络走向生活,成为朋友。他对于安全技术孜孜不倦的研究,使得他年纪轻轻便成为系统、网络、Web等多方面安全的专家;他对于安全技术的分享,创建了“幻影旅团”(ph4nt0m.org)组织,培养了一批安全方面的技术人才,并带动了整个行业的交流氛围;他和同事在大型互联网公司对安全方面的不断实践,全面保护着阿里巴巴集团的安全;他对于安全的反思和总结并发布在他的博客上,使得我们能够更为深入地理解安全的意义,处理安全问题的方法论。而今天,很幸运,我们能系统的地看到吴翰清先生多年在大型互联网公司工作实践、总结反思所积累的安全观和Web安全技术。 中国人自己编写的安全专著不多,而在这为数不多的书中,绝大部分也都是“黑客攻击”速成手册。这些书除了在技术上仅立足于零碎的技术点、工具使用手册、攻击过程演示,不系统之外,更为关键的是,它们不是以建设者的角度去解决安全问题。吴翰清先生是我非常佩服的“白帽子”,他和一群志同道合的朋友,一直以建设更安全的互联网为己任,系统地研究安全,积极分享知识,为中国的互联网安全添砖加瓦。而这本书也正是站在白帽子的视角,讲述Web安全的方方面面,它剖析攻击原理,目的是让互联网开发者、技术人员了解原理,并通过自身的实践,告诉大家分析这些问题的方法论、思想以及对应的防范方案。 最让我共鸣的是“安全运营”的思路,我相信这也是吴翰清先生这么多年在互联网公司工作的最大收获之一,因为运营是互联网公司的最大特色和法宝。安全是一个动态的过程,因为敌方攻击手段在变,攻击方法在变,漏洞不断出现;我方业务在变,软件在变,人员在变,妄图通过一个系统、一个方案解决所有的问题是不现实的,也是不可能的,安全需要不断地运营、持续地优化。 瑞雪兆丰年,一直在下的雪预示着今年的丰收。我想在经历了2011年中国互联网最大安全危机之后,如白雪一样纯洁的《白帽子讲Web安全》应该会给广大的从事互联网技术人员带来更多的帮助,保障中国互联网的安全,迎来互联网的又一个春天。 季昕华 Benjurry
前言
在2010年年中的时候,博文视点的张春雨先生找到我,希望我可以写一本关于云计算安全的书。当时云计算的概念正如日中天,但市面上关于云计算安全应该怎么做却缺乏足够的资料。我由于工作的关系接触这方面比较多,但考虑到云计算的未来尚未清晰,以及其他的种种原因,婉拒了张春雨先生的要求,转而决定写一本关于Web安全的书。
我的安全之路
我对安全的兴趣起源于中学时期。当时在盗版市场买到了一本没有书号的黑客手册,其中coolfire
1
的黑客教程令我印象深刻。此后在有限的能接触到互联网的机会里,我总会想方设法地寻找一些黑客教程,并以实践其中记载的方法为乐。 在2000年的时候,我进入了西安交通大学学习。在大学期间,最大的收获,是学校的计算机实验室平时会对学生开放。当时上网的资费仍然较贵,父母给我的生活费里,除了留下必要的生活所需费用之外,几乎全部投入在这里。也是在学校的计算机实验室里,让我迅速在这个领域中成长起来。 大学期间,在父母的资助下,我拥有了自己的第一台个人电脑,这加快了我成长的步伐。与此同时,我和一些互联网上志同道合的朋友,一起建立了一个技术型的安全组织,名字来源于我当时最喜爱的一部动漫:“幻影旅团”(ph4nt0m.org)。历经十余载,“幻影”由于种种原因未能得以延续,但它却曾以论坛的形式培养出了当今安全行业中非常多的顶尖人才。这也是我在这短短二十余载人生中的最大成就与自豪。 得益于互联网的开放性,以及我亲手缔造的良好技术交流氛围,我几乎见证了全部互联网安全技术的发展过程。在前5年,我投入了大量精力研究渗透测试技术、缓冲区溢出技术、网络攻击技术等;而在后5年,出于工作需要,我把主要精力放在了对Web安全的研究上。
加入阿里巴巴
发生这种专业方向的转变,是因为在2005年,我在一位挚友的推荐下,加入了阿里巴巴。加入的过程颇具传奇色彩,在面试的过程中主管要求我展示自己的能力,于是我远程关闭了阿
1 Coolfire,真名林正隆,台湾著名黑客,中国黑客文化的先驱者。
里巴巴内网上游运营商的一台路由设备,导致阿里巴巴内部网络中断。事后主管立即要求与运营商重新签订可用性协议。 大学时期的兴趣爱好,居然可以变成一份正经的职业(当时很多大学都尚未开设网络安全的课程与专业),这使得我的父母很震惊,同时也更坚定了我自己以此作为事业的想法。 在阿里巴巴我很快就崭露头角,曾经在内网中通过网络嗅探捕获到了开发总监的邮箱密码;也曾经在压力测试中一瞬间瘫痪了公司的网络;还有好几次,成功获取到了域控服务器的权限,从而可以以管理员的身份进入任何一位员工的电脑。 但这些工作成果,都远远比不上那厚厚的一摞网站安全评估报告让我更有成就感,因为我知道,网站上的每一个漏洞,都在影响着成千上万的用户。能够为百万、千万的互联网用户服务,让我倍感自豪。当时,Web正在逐渐成为互联网的核心,Web安全技术也正在兴起,于是我义无返顾地投入到对Web安全的研究中。 我于2007年以23岁之龄成为了阿里巴巴集团最年轻的技术专家。虽未有官方统计,但可能也是全集团里最年轻的高级技术专家,我于2010年获此殊荣。在阿里巴巴,我有幸见证了安全部门从无到有的建设过程。同时由于淘宝、支付宝草创,尚未建立自己的安全团队,因此我有幸参与了淘宝、支付宝的安全建设,为他们奠定了安全开发框架、安全开发流程的基础。
对互联网安全的思考
当时,我隐隐地感觉到了互联网公司安全,与传统的网络安全、信息安全技术的区别。就如同开发者会遇到的挑战一样,有很多问题,不放到一个海量用户的环境下,是难以暴露出来的。由于量变引起质变,所以管理10台服务器,和管理1万台服务器的方法肯定会有所区别;同样的,评估10名工程师的代码安全,和评估1000名工程师的代码安全,方法肯定也要有所不同。 互联网公司安全还有一些鲜明的特色,比如注重用户体验、注重性能、注重产品发布时间,因此传统的安全方案在这样的环境下可能完全行不通。这对安全工作提出了更高的要求和更大的挑战。 这些问题,使我感觉到,互联网公司安全可能会成为一门新的学科,或者说应该把安全技术变得更加工业化。可是我在书店中,却发现安全类目的书,要么是
内容系创作者发布,涉及安全和抄袭问题属于创作者个人行为,不代表夹子盘观点,可联系客服删除。
