**

前言

**关于Web的格言或警句中，你最喜欢哪一个？这些格言或警句很可能会涉及Web安全或网站所面临的威胁。本书通过黑客最经常利用的8组安全弱点及漏洞，试着阐明复杂难解的Web安全性问题。对读者来说，其中一些攻击可能很熟悉，而另外一些攻击可能是出乎意料或者比较陌生的，因为这些攻击并未登上头条新闻或进入到前十大新闻中。攻击者可能会针对一些底层公共特性进行利用，这也是为什么诸如跨站脚本攻击和SQL注入攻击引起了人们广泛关注的原因。更厉害的攻击者可能会把网站设计的工作流或假设中的模糊之处当作目标，利用这些结果会获得巨大经济收益，但可能只对某个网站有效，这种方式的优势在于不会像SQL注入等攻击那样暴露出攻击者的信息。在Web上，信息就是金钱。信用卡显然对黑客有巨大的价值，不断出现非法信用卡交易网站对盗来的信用卡通过论坛、用户反馈和卖家评价等进行交易。我们的个人信息、密码、电子邮件帐户、线上游戏账户等都有其价值，更不用说我们尽力使这些内容保密所付出的努力的价值。目前的现实就是经济间谍以及国家资助的网络攻击被人们普遍关注和夸大，其实更缺乏的是可靠的公共信息。（对Web安全而言，“网络战争”存在与否无关紧要，我们更加关注的是如何应对这些。）真实世界中人、公司或国家之间的几乎所有骗局、欺骗、诡计等在Web上都存在，因为非法获取Web上有价值的信息很诱人，可以是为了荣誉、国家、金钱，或纯粹出于好奇心。本书学习要点本书的每一章都给出了针对Web应用程序的不同攻击实例。首先会探究这些攻击所采用的方法，然后展示这些攻击潜在的影响，这些影响可能是针对网站的安全性或用户的隐私。攻击甚至可能不会将重点放在攻破某个Web服务器，而是聚焦于攻击浏览器。Web安全性对应用程序和浏览器的影响是类似的，毕竟，它们都是存放信息的地方。每章中接下来的内容会从攻击的不同角度给出相应的应对措施。应对措施是很棘手的事物，在设计出好的防御措施之前，必须要理解攻击的工作方式，还要清楚这些应对措施的局限性以及不能覆盖的漏洞。安全是网站的整体属性，不是单个保护措施的累加。本书中某些应对措施会被反复提到，有些应对措施可能仅出现一次。本书面向的读者使用Web收取电子邮件、购物或工作的人都将会从本书受益，他们可以了解网站如何泄露个人信息以及怎样隐藏恶意内容。网站开发人员肩负着网站安全性的最大责任，同时用户也有自己的责任。用户的责任主要体现在维护最新的浏览器、注意密码的使用、警惕类似社会工程这类非技术攻击。Web应用程序开发人员和安全专家将会从本书介绍的Web攻击背后的技术细节和方法中受益。提升网站安全性的第一步就是要能够理解应用程序面临的威胁，理解不好的编程习惯会导致安全弱点，该弱点会导致漏洞，而漏洞会导致数百万用户密码从未加密的数据库中泄漏出去。另外，有几章深入探讨了与编程语言或支撑特定站点的技术无关的有效应对措施。行政管理层能够从本书中理解Web站点面临的威胁，而且会看到在很多案例中，仅仅需要一个浏览器并动动脑筋，这种简单攻击就能对站点和它的用户带来负面影响。这同样说明尽管很多攻击易于执行，但好的应对措施仍需时间和资源才能得到正确实现。这些要点为分配资金和资源以提高网站安全性，进而保护Web站点管理的大量信息财富提供有力的论据。

目录