本文關(guān)鍵詞：Web應(yīng)用安全權(quán)威指南，由筆耕文化傳播整理發(fā)布。

《Web應(yīng)用安全權(quán)威指南》終于出版了，從開始翻譯到上市，歷時(shí)近一年。這期間，譯者，尤其是圖靈的編輯都付出了巨大的努力。當(dāng)然，只有獲得讀者的承認(rèn)，所有人的努力才不算浪費(fèi)。

我也是今天剛拿到紙版的書，從印刷質(zhì)量上來說，還挺不錯(cuò)，字體正合適閱讀，封面設(shè)計(jì)的也很好看；紙質(zhì)也不錯(cuò)，雖然有點(diǎn)重，不過只有不到400頁，拿在手里正好。關(guān)鍵是，價(jià)錢也不貴，大概60左右的樣子，貌似China-Pub59塊多。

如果書中有什么不對的地方，也希望讀者能直接和圖靈或者譯者聯(lián)系。

1. 關(guān)于圖靈和本書

首先，我個(gè)人認(rèn)為這本書的 主要面向用戶為：初中級(jí)水平的開發(fā)人員，對安全感興趣又不是特別深入的人；以及經(jīng)驗(yàn)相對豐富又想做些查漏補(bǔ)缺的人。

這本書主要是面向開發(fā)人員的，意在幫助大家開發(fā)安全的Web應(yīng)用，而不是讓你成為黑客或者專業(yè)的安全人員。

此外，本書除了全世界共通的技術(shù)語言之外，中日之間不同的開發(fā)方式，IT背景也能幫我們開闊眼界， 促使我們?nèi)タ紤]一些之前沒人去考慮的方面。也許有些東西在國內(nèi)不現(xiàn)實(shí)或者不實(shí)用，由于譯者能力有限，未能全部按照國內(nèi)情況改寫，深感內(nèi)疚。

再介紹下原作者德丸浩（Twitter ID：@ockeghem https://twitter.com/ockeghem）。2008年創(chuàng)立HASH咨詢公司，任董事長。主要從事網(wǎng)絡(luò)安全性的診斷與咨詢工作，并在工作之余通過博客普及網(wǎng)絡(luò)安全知識(shí)。兼任KYOCERA Communication Systems股份有限公司技術(shù)顧問、獨(dú)立行政法人信息處理推進(jìn)機(jī)構(gòu)（IPA）客座研究員，活躍于日本安全業(yè)界。說到IPA，這是在日本非常權(quán)威厲害的IT部門，他們除了舉辦類似國內(nèi)的程序員、系統(tǒng)分析員等考試之外，還和有很多非常實(shí)用的機(jī)構(gòu)和功能，比如沒年的開源大獎(jiǎng)，未踏（即還沒有人踏入過的領(lǐng)域、技術(shù)）大獎(jiǎng)等，非常貼近實(shí)際產(chǎn)業(yè)現(xiàn)狀和需求。而KYOCERA，即京瓷，則是最近在中國很火的日本管理大師稻盛和夫所創(chuàng)辦的企業(yè)。

2. 本書內(nèi)容

本書共分8章，分別是：

第1章 什么是 Web應(yīng)用的安全隱患

本章是入門引子，非常簡短，主要是介紹了什么什么是Web應(yīng)用中的安全問題，及其出現(xiàn)原因。并提出安全性bug和安全性功能兩個(gè)概念。

第2章 搭建試驗(yàn)環(huán)境

本章介紹了如何安裝書中演示例子的環(huán)境，包括虛擬機(jī)和調(diào)試工具Fiddler等。

本書還附帶了一個(gè)VMware Player虛擬機(jī)，里面是一個(gè)簡單的Web運(yùn)行環(huán)境，功能不比大多數(shù)小網(wǎng)站少，非常方便大家親手進(jìn)行實(shí)踐，包括Apache/PHP/郵件服務(wù)等。不過遺憾的是里面環(huán)境有些是日文的，大家可以和書對照著看。

整個(gè)環(huán)境可以從中的“隨書下載”菜單下下載。

第3章 Web 安全基礎(chǔ)：HTTP、會(huì)話管理、同源策略

可以認(rèn)為這章是進(jìn)入后續(xù)章節(jié)的入門預(yù)習(xí)，主要介紹了HTTP原理和會(huì)話功能。以及主動(dòng)攻擊和被動(dòng)攻擊，及同源策略。

什么是HTTP，URL的結(jié)構(gòu)式怎樣的，一個(gè)網(wǎng)頁請求都會(huì)有哪些網(wǎng)絡(luò)傳輸？HTTP請求和返回的各字段都是什么意思？GET和POST的區(qū)別等等問題，以及現(xiàn)代Web賴以生存的Cookie和Session機(jī)制及安全問題，本章都進(jìn)行了詳細(xì)的說明。

本章后半部分，對被動(dòng)攻擊和同源策略進(jìn)行了具體的介紹。

第4章 Web應(yīng)用的各種安全隱患

這是本書中分量最重的一章，因?yàn)樗榻B了現(xiàn)代Web安全的最重要3個(gè)問題：XSS，SQL注入和CSRF。除此之外，還有一些可能會(huì)被我們忽略的小問題，比如重定向問題，郵件發(fā)送問題，調(diào)用OS命令等問題。

第5章 典型安全功能

本章主要對為了保護(hù)系統(tǒng)安全所編寫的安全性功能相關(guān)的最佳實(shí)踐，主要就是賬號(hào)管理、認(rèn)證授權(quán)，最后也介紹了日志管理。

比如說錯(cuò)誤消息提示，如果登錄的時(shí)候email并沒有在應(yīng)用中注冊，那么錯(cuò)誤消息怎么顯示？是“該用戶不存在”，還是“登錄出錯(cuò)”？這個(gè)大難，還是留給各位在閱讀本書時(shí)自己思考吧。

第6章 字符編碼和安全

什么，字符編碼還會(huì)導(dǎo)致安全問題？提到字符編碼，你一定想首先，或者只會(huì)想到令人頭痛的亂碼問題；而實(shí)際上，字符編碼確實(shí)是能引起安全隱患的，這根OS，所用語言、頁面編碼等都有關(guān)系，不過作為結(jié)論來說，不管從B格還是安全上考慮，都用UTF-8吧。

第7章 如何提高 Web網(wǎng)站的安全性

本章則主要從系統(tǒng)管理和運(yùn)維的角度來審視如何提高Web網(wǎng)站的安全性。包括如何提高主機(jī)安全性，避免域名相關(guān)的攻擊，，以及通過導(dǎo)入SSL等增強(qiáng)系統(tǒng)安全性等內(nèi)容。

第8章 開發(fā)安全的 Web應(yīng)用所需要的管理

從管理上重視安全，將安全提高到企業(yè)級(jí)高度，這是國內(nèi)開發(fā)商和公司需要提高的地方。尤其是在承包合同中，甲方乙方應(yīng)該各自注意什么問題，應(yīng)該履行什么義務(wù)等，本章都進(jìn)行了簡單介紹，相信的開發(fā)人員，尤其是負(fù)責(zé)管理管理工作的開發(fā)人員，都有一定的參考意義。

安全就是要防患未然，與其從技術(shù)入手，從管理和人入手都是一個(gè)簡單低成本的途徑。

3. 相關(guān)書籍

最后，再來簡單的和其他一些本人看過的書籍做些對比。這兩本書我都買了，也都讀過，都非常不錯(cuò)。三本書雖然可以稱得上是同一類別（至少書店里應(yīng)該會(huì)擺一塊吧），但是彼此側(cè)重不同，重合的地方不多，將三本書結(jié)合起來看反而更相得益彰，對Web安全的認(rèn)識(shí)也將更系統(tǒng)化和全面。

《Web之困：現(xiàn)代Web應(yīng)用安全指南》：介紹了非�；A(chǔ)和科學(xué)的東西，重點(diǎn)從瀏覽器和HTTP協(xié)議上對安全問題進(jìn)行了闡述，非�；A(chǔ)的技術(shù)，細(xì)致周密的講述。

《白帽子講Web安全》：介紹的內(nèi)容非常全面，更接近于本書的內(nèi)容和難易程度。

本書《Web應(yīng)用安全權(quán)威指南》則非常專注于：Web安全和開發(fā)，沒有涉及過多的額外內(nèi)容，比如不想一些國內(nèi)的其他書籍多多少少會(huì)“攢”些相關(guān)資料。 如果用一個(gè)詞來形容的話，我想應(yīng)該是“實(shí)用”。

4. 廣告時(shí)間：

《Web應(yīng)用安全權(quán)威指南》購買地址：

亞馬遜： 應(yīng)用安全權(quán)威指南-日-徳丸浩/dp/B00NZNYT0G

互動(dòng)出版（China-pub）：

京東：

當(dāng)當(dāng)：

最后，再次對圖靈的編輯，OWASP的子明表示深深的感謝。

  本文關(guān)鍵詞：Web應(yīng)用安全權(quán)威指南，由筆耕文化傳播整理發(fā)布。

本文編號(hào)：107010