在互聯網時代，數據安全與個人隱私受到了前所 未有的挑戰，各種新奇的攻擊技術層出不窮。如何纔 能更好地保護我們的數據？《白帽子講Web安全(紀念 版)》將帶你走進Web安全的世界，讓你了解Web安全 的方方面面。黑客不再變得神秘，攻擊技術原來我也 可以會，小網站主自己也能找到正確的安全道路。大 公司是怎麼做安全的，為什麼要選擇這樣的方案呢？ 你能在本書中找到答案。詳細的剖析，讓你不僅能“ 知其然”，更能“知其所以然”。 本書由吳翰清著。

吳翰清，畢業於西安交通大學少年班，從2000年開始研究網絡攻防技術。在大學期間創立了在中國安全圈內極具影響力的組織“幻影”。

**篇 世界觀安全
第1章 我的安全世界觀
1.1Web安全簡史
1.1.1中國黑客簡史
1.1.2黑客技術的發展歷程
1.1.3Web安全的興起
1.2黑帽子，白帽子
1.3返璞歸真，揭秘安全的本質
1.4破除迷信，沒有銀彈
1.5安全三要素
1.6如何實施安全評估
1.6.1資產等級劃分
1.6.2威脅分析
1.6.3風險分析
1.6.4設計安全方案
1.7白帽子兵法
1.7.1SecureByDefault原則
1.7.2縱深防御原則
1.7.3數據與代碼分離原則
1.7.4不可預測性原則
1.8小結
（附）誰來為漏洞買單？
第二篇 客戶端腳本安全
第2章 瀏覽器安全
2.1同源策略
2.2瀏覽器沙箱
2.3惡意網址攔截
2.4高速發展的瀏覽器安全
2.5小結
第3章 跨站腳本攻擊（XSS）
3.1XSS簡介
3.2XSS攻擊進階
3.2.1初探XSSPayload
3.2.2強大的XSSPayload
3.2.3XSS攻擊平臺
3.2.4****：XSSWorm
3.2.5調試JavaScript
3.2.6XSS構造技巧
3.2.7變廢為寶：MissionImpossible
3.2.8容易被忽視的角落：FlashXSS
3.2.9真的高枕無憂嗎：JavaScript開發框架
3.3XSS的防御
3.3.1四兩撥千斤：HttpOnly
3.3.2輸入檢查
3.3.3輸出檢查
3.3.4正確地防御XSS
3.3.5處理富文本
3.3.6防御DOMBasedXSS
3.3.7換個角度看XSS的風險
3.4小結
第4章 跨站點請求偽造（CSRF）
4.1CSRF簡介
4.2CSRF進階
4.2.1瀏覽器的Cookie策略
4.2.2P3P頭的副作用
4.2.3GET?POST?
4.2.4FlashCSRF
4.2.5CSRFWorm
4.3CSRF的防御
4.3.1驗證碼
4.3.2RefererCheck
4.3.3AntiCSRFToken
4.4小結
第5章 點擊劫持（ClickJacking）
5.1什麼是點擊劫持
……
第6章 HTML5安全
第三篇 服務器端應用安全
第7章 注入攻擊
第8章 文件上傳漏洞
第9章 認證與會話管理
**0章 訪問控制
**1章 加密算法與隨機數
**2章 Web框架安全
**3章 應用層拒*服務攻擊
**4章 PHP安全
**5章 WebServer配置安全
第四篇 互聯網公司安全運營
**6章 互聯網業務安全
**7章 安全開發流程（SDL）
**8章 安全運營

在2010 年年中的時候，博文視點的張春雨先生找到我，希望我可以寫一本關於雲計算安全的書。當時雲計算的概念正如日中天，但市面上關於雲計算安全應該怎麼做卻缺乏足夠的資料。我由於工作的關繫接觸這方面比較多，但考慮到雲計算的未來尚未清晰，以及其他的種種原因，婉拒了張春雨先生的要求，轉而決定寫一本關於Web 安全的書。
我的安全之路 我對安全的興趣起源於中學時期。當時在盜版市場買到了一本沒有書號的黑客手冊，其中coolfire的黑客教程令我印像深刻。此後在有限的能接觸到互聯網的機會裡，我總會想方設法地尋找一些黑客教程，並以實踐其中記載的方法為樂。
在2000 年的時候，我進入了西安交通大學學習。在大學期間，*大的收獲，是學校的計算機實驗室平時會對學生開放。當時上網的資費仍然較貴，父母給我的生活費裡，除了留下必要的生活所需費用之外，幾乎全部投入在這裡。也是在學校的計算機實驗室裡，讓我迅速在這個領域中成長起來。
大學期間，在父母的資助下，我擁有了自己的**臺個人電腦，這加快了我成長的步伐。與此同時，我和一些互聯網上志同道合的朋友，一起建立了一個技術型的安全組織，名字來源於我當時*喜愛的一部動漫：“幻影旅團”（ph4nt0m.org）。歷經十餘載，“幻影”由於種種原因未能得以延續，但它卻曾以論壇的形式培養出了當今安全行業中**多的**人纔。這也是我在這短短二十餘載人生中的*大成就與自豪。
得益於互聯網的開放性，以及我親手締造的良好技術交流氛圍，我幾乎見證了全部互聯網安全技術的發展過程。在前5 年，我投入了大量精力研究滲透測試技術、緩衝區溢出技術、網絡攻擊技術等；而在後5 年，出於工作需要，我把主要精力放在了對Web 安全的研究上。
加入阿裡巴巴 發生這種專業方向的轉變，是因為在2005 年，我在一位摯友的**下，加入了阿裡巴巴。
加入的過程頗具傳奇色彩，在面試的過程中主管要求我展示自己的能力，於是我遠程關閉了阿裡巴巴內網上遊運營商的一臺路由設備，導致阿裡巴巴內部網絡中斷。事後主管立即要求與運營商重新簽訂可用性協議。
大學時期的興趣愛好，居然可以變成一份正經的職業（當時很多大學都尚未開設網絡安全的課程與專業），這使得我的父母很震驚，同時也*堅定了我自己以此作為事業的想法。
在阿裡巴巴我很快就嶄露頭角，曾經在內網中通過網絡嗅探捕獲到了開發總監的郵箱密碼；也曾經在壓力測試中一瞬間癱瘓了公司的網絡；還有好幾次，成功獲取到了域控服務器的權限，從而可以以管理員的身份進入任何一位員工的電腦。
但這些工作成果，都遠遠比不上那厚厚的一摞網站安全評估報告讓我*有成就感，因為我知道，網站上的每一個漏洞，都在影響著成千上萬的用戶。能夠為百萬、千萬的互聯網用戶服務，讓我倍感自豪。當時，Web 正在逐漸成為互聯網的核心，Web 安全技術也正在興起，於是我義無返顧地投入到對Web 安全的研究中。
我於2007 年以23 歲之齡成為了阿裡巴巴集團*年輕的技術專家。雖未有官方統計，但可能也是全集團裡*年輕的**技術專家，我於2010 年獲此殊榮。在阿裡巴巴，我有幸見證了安全部門從無到有的建設過程。同時由於淘寶、支付寶草創，尚未建立自己的安全團隊，因此我有幸參與了淘寶、支付寶的安全建設，為他們奠定了安全開發框架、安全開發流程的基礎。
對互聯網安全的思考 當時，我隱隱地感覺到了互聯網公司安全，與傳統的網絡安全、信息安全技術的區別。就如同開發者會遇到的挑戰一樣，有很多問題，不放到一個海量用戶的環境下，是難以暴露出來的。由於量變引起質變，所以管理10 臺服務器，和管理1 萬臺服務器的方法肯定會有所區別；同樣的，評估10 名工程師的代碼安全，和評估1000 名工程師的代碼安全，方法肯定也要有所不同。
互聯網公司安全還有一些鮮明的特色，比如注重用戶體驗、注重性能、注重產品發布時間，因此傳統的安全方案在這樣的環境下可能**行不通。這對安全工作提出了*高的要求和*大的挑戰。
這些問題，使我感覺到，互聯網公司安全可能會成為一門新的學科，或者說應該把安全技術變得*加工業化。可是我在書店中，卻發現安全類目的書，要麼是極為學術化的（一般人看不懂）教科書，要麼就是極為娛樂化的（比如一些“黑客工具說明書”類型的書）說明書。極少數能夠深入剖析安全技術原理的書，以我的經驗看來，在工業化的環境中也會存在各種各樣的問題。
這些問題，也就促使我萌發了一種寫一本自己的書，分享多年來工作心得的想法。它將是一本闡述安全技術在企業級應用中實踐的書，是一本大型互聯網公司的工程師能夠真正用得上的安全參考書。因此張春雨先生一提到邀請我寫書的想法時，我沒有做過多的思考，就答應了。
Web 是互聯網的核心，是未來雲計算和移動互聯網的*佳載體，因此Web 安全也是互聯網公司安全業務中*重要的組成部分。我近年來的研究重心也在於此，因此將選題範圍定在了Web 安全。但其實本書的很多思路並不局限於Web 安全，而是可以放寬到整個互聯網安全的方方面面之中。
掌握了以正確的思路去看待安全問題，在解決它們時，都將無往而不利。我在2007 年的時候，意識到了掌握這種正確思維方式的重要性，因此我告知好友：安全工程師的核心競爭力不在於他能擁有多少個0day，掌握多少種安全技術，而是在於他對安全理解的深度，以及由此引申的看待安全問題的角度和高度。我是如此想的，也是如此做的。
因此在本書中，我認為*可貴的不是那一個個工業化的解決方案，而是在解決這些問題時，背後的思考過程。我們不是要做一個能夠解決問題的方案，而是要做一個能夠“漂亮地”解決問題的方案。這是每一名**的安全工程師所應有的追求。
安全啟蒙運動 然而在當今的互聯網行業中，對安全的重視程度普遍不高。有統計顯示，互聯網公司對安全的投入不足收入的百分之一。
在2011 年歲末之際，中國互聯網突然卷入了一場有史以來*大的安全危機。12 月21 日，***大的開發者社區CSDN 被黑客在互聯網上公布了600 萬注冊用戶的數據。*糟糕的是，CSDN 在數據庫中明文保存了用戶的密碼。接下來如同一場盛大的交響樂，黑客隨後陸續公布了網易、人人、天涯、貓撲、多玩等多家大型網站的數據庫，一時間風聲鶴唳，草木皆兵。
這些數據其實在黑客的地下世界中已經輾轉流傳了多年，牽扯到了一條巨大的黑色產業鏈。這次的偶然事件使之浮出水面，公之於眾，也讓用戶清醒地認識到中國互聯網的安全現狀有多麼糟糕。
以往類似的事件我都會在博客上說點什麼，但這次我保持了沉默。因為一來知道此種狀況已經多年，網站隻是在為以前的不作為而買單；二來要解決“拖庫”的問題，其實是要解決整個互聯網公司的安全問題，遠非保證一個數據庫的安全這麼簡單。這不是通過一段文字、一篇文章就能夠講清楚的。但我想*好的答案，可以在本書中找到。
經歷這場危機之後，希望整個中國互聯網，在安全問題的認識上，能夠有一個新的高度。
那這場危機也就物有所值，或許還能借此契機成就中國互聯網的一場安全啟蒙運動。
這是我的**本書，也是我堅持自己一個人寫完的書，因此可以在書中盡情地闡述自己的安全世界觀，且對書中的任何錯漏之處以及不成熟的觀點都沒有可以推卸責任的借口。
由於工作繁忙，寫此書隻能利用業餘時間，交稿時間多次推遲，深感寫書的不易。但*終能成書，則有賴於各位親朋的支持，以及編輯的鼓勵，在此深表感謝。本書中很多地方未能寫得*為深入細致，實乃精力有限所致，尚請多多包涵。
關於白帽子 在安全圈子裡，素有“白帽”、“黑帽”一說。
黑帽子是指那些造成破壞的黑客，而白帽子則是研究安全，但不造成破壞的黑客。白帽子均以建設*安全的互聯網為己任。
我於2008 年開始在**互聯網行業中倡導白帽子的理念，並聯合了一些主要互聯網公司的安全工程師，建立了白帽子社區，旨在交流工作中遇到的各種問題，以及經驗心得。
本書名為《白帽子講Web 安全》，即是站在白帽子的視角，講述Web 安全的方方面面。雖然也剖析攻擊原理，但*重要的是如何防範這些問題。同時也希望“白帽子”這一理念，能夠*加的廣為人知，為中國互聯網所接受。
本書結構 全書分為4 大篇共18 章，讀者可以通過瀏覽目錄以進一步了解各篇章的內容。在有的章節末尾，還附上了筆者曾經寫過的一些博客文章，可以作為延伸閱讀以及本書正文的補充。
**篇 我的安全世界觀是全書的綱領。在此篇中先回顧了安全的歷史，然後闡述了筆者對安全的看法與態度，並提出了一些思考問題的方式以及做事的方法。理解了本篇，就能明白全書中所涉及的解決方案在抉擇時的取舍。
第二篇 客戶端腳本安全就當前比較流行的客戶端腳本攻擊進行了深入闡述。當網站的安全做到一定程度後，黑客可能難以再找到類似注入攻擊、腳本執行等高風險的漏洞，從而可能將注意力轉移到客戶端腳本攻擊上。
客戶端腳本安全與瀏覽器的特性息息相關，因此對瀏覽器的深入理解將有助於做好客戶端腳本安全的解決方案。
如果讀者所要解決的問題比較嚴峻，比如網站的安全是從零開始，則建議跳過此篇，先閱讀下一篇“服務器端應用安全”，解決優先級*高的安全問題。
第三篇 服務器端應用安全就常見的服務器端應用安全問題進行了闡述。這些問題往往能引起**嚴重的後果，在網站的安全建設之初需要優先解決這些問題，避免留下任何隱患。
第四篇 互聯網公司安全運營提出了一個大安全運營的思想。安全是一個持續的過程，*終仍然要由安全工程師來保證結果。
在本篇中，首先就互聯網業務安全問題進行了一些討論，這些問題對於互聯網公司來說有時候會比漏洞*為重要。
在接下來的兩章中，首先闡述了安全開發流程的實施過程，以及筆者積累的一些經驗。然後談到了公司安全團隊的職責，以及如何建立一個健康完善的安全體繫。
本書也可以當做一本安全參考書，讀者在遇到問題時，可以挑選任何所需要的章節進行閱讀。
致謝 感謝我的妻子，她的支持是對我*大的鼓勵。本書*後的成書時日，是陪伴在她的病床邊完成的，我將銘記一生。
感謝我的父母，是他們養育了我，並一直在背後默默地支持我的事業，使我*終能有機會在這裡寫下這些話。
感謝我的公司阿裡巴巴集團，它營造了良好的技術與實踐氛圍，使我能夠有**的積累。
同時也感謝在工作中一直給予我幫助和鼓勵的同事、上司，他們包括但不限於：魏興國、湯城、劉志生、侯欣傑、林松英、聶萬泉、謝雄欽、徐敏、劉坤、李澤洋、肖力、葉怡愷。
感謝季昕華先生為本書作序，他一直是所有安全工作者的楷模與學習的對像。
也感謝博文視點的張春雨先生以及他的團隊，是他們的努力使本書*終能與廣大讀者見面。他們的專業意見給了我很多的幫助。
*後特別感謝我的同事周拓，他對本書提出了很多有建設性的意見。
聯繫方式： 郵箱：opensystem@gmail.com 博客：http://hi.baidu.com/aullik5 微博：http://t.qq.com/aullik5 微博：http://weibo.com/n/aullik5 吳翰清 2012 年1 月於杭州