　　互聯網時代的數據安全與個人隱私受到挑戰，各種新奇的攻擊技術層齣不窮。如何纔能更好地保護我們的數據？《白帽子講Web安全（紀念版）》將帶你走進Web安全的世界，讓你瞭解Web安全的方方麵麵。黑客不再神秘，攻擊技術原來如此，小網站也能找到適閤自己的安全道路。大公司如何做安全，為什麼要選擇這樣的方案呢？在《白帽子講Web安全（紀念版）》中都能找到答案。詳細的剖析，讓你不僅能“知其然”，更能“知其所以然”。
　　《白帽子講Web安全（紀念版）》根據安全寶副總裁吳翰清之前在互聯網公司若乾年的實際工作經驗而寫成，在解決方案上具有極強的可操作性；深入分析諸多錯誤的方法及誤區，對安全工作者有很好的參考價值；對安全開發流程與運營的介紹，同樣具有深刻的行業指導意義。《紀念版》與前版內容相同，僅為紀念原作以多種語言在全球發行的特殊版本，請讀者按需選用。
　　

作者簡介

　　吳翰清，國內著名安全組織Ph4nt0m的創始人，精通各種攻擊與防禦技術。2005年加入阿裏巴巴（中國）有限公司，2007年成為阿裏巴巴年輕的專傢。先後完成阿裏巴巴、淘寶、支付寶的安全評估與安全體係建設工作。主導瞭阿裏巴巴的安全開發流程建設工作，在應用安全領域內有豐富的經驗。現任阿裏巴巴安全架構師，負責全集團WEB安全工作以及雲計算安全。

內頁插圖

精彩書評

　　★安全是互聯網公司的聲明，也是每一位網民的基本需求，以為天天聽到到生的白帽子和你分享如何嗬護生命，滿足基本需求，這是一本能味到硝煙味道的書。
　　——阿裏巴巴集團首席架構師阿裏雲計算總裁王堅

　　★對於絕大多數的中小網站來說，Web安全是技術上薄弱而又很難提高的一個環節，而這個環節上發生的問題曾讓很多人寢食難安。感謝此書中分享的諸多寶貴經驗，讓我受益匪淺。同時，強烈建議每個技術團隊的負責人都能閱讀此書，定能讓你受益。
　　——丁香園CTO馮大輝

　　★作為互聯網的開發人員，在實現功能外也需要重點關注如何避免留TXSS、CSRF等漏洞，否則很容易齣現用戶賬號泄密、跨權限操作等嚴重問題，本書講解瞭通常網站是如何來應對這些漏洞以及保障安全的，從這些難能可貴的實戰經驗中可以學習到如何更好地編寫一個安全的網站。
　　——淘寶資深技術專傢林吳

　　★安全問題成瞭互聯網的夢魘，這本書的齣現終於能讓我們睡個好覺。
　　——知道創宇創始人CEO趙偉（icbm）

　　★一直以來安全行業都不缺少所謂的技術和毫無思想的說明書式的文字，缺少的是對於安全本質的：析，關於如何更好地結閤實際情況解決問題的思考，以及對這些思考的分享。吳翰清正在嘗試做個事情，而且做到瞭。
　　——烏雲漏洞平颱創始人方小頓（劍心）
　　

第一篇世界觀安全

第1 章我的安全世界觀
1 1 Web 安全簡史
1 1 1 中國黑客簡史
11 2 黑客技術的發展曆程
11 3 Web 安全的興起
12 黑帽子，白帽子
13 返璞歸真，揭秘安全的本質
14 破除迷信，沒有銀彈
15 安全三要素
16 如何實施安全評估
16 1 資産等級劃分
16 2 威脅分析
16 3 風險分析
16 4 設計安全方案
17 白帽子兵法
17 1 Secure By Default 原則
17 2 縱深防禦原則
17 3 數據與代碼分離原則
17 4 不可預測性原則
18 小結
（附）誰來為漏洞買單？

第二篇客戶端腳本安全

第2 章瀏覽器安全
21 同源策略
22 瀏覽器沙箱
23 惡意網址攔截
24 高速發展的瀏覽器安全
25 小結

第3 章跨站腳本攻擊（XSS）
31 XSS 簡介
32 XSS 攻擊進階
32 1 初探XSS Payload
32 2 強大的XSS Payload
32 3 XSS 攻擊平颱
32 4 終極武器：XSS Worm
32 5 調試JavaScript
32 6 XSS 構造技巧
32 7 變廢為寶：Mission Impossible
32 8 容易被忽視的角落：Flash XSS
32 9 真的高枕無憂嗎：JavaScript 開發框架
33 XSS 的防禦
33 1 四兩撥韆斤：HttpOnly
33 2 輸入檢查
33 3 輸齣檢查
33 4 正確地防禦XSS
33 5 處理富文本
33 6 防禦DOM Based XSS
33 7 換個角度看XSS 的風險
34 小結

第4 章跨站點請求僞造（CSRF）
41 CSRF 簡介
42 CSRF 進階
42 1 瀏覽器的Cookie 策略
42 2 P3P 頭的副作用
42 3 GET? POST?
42 4 Flash CSRF
42 5 CSRF Worm
43 CSRF 的防禦
43 1 驗證碼
43 2 Referer Check
43 3 Anti CSRF Token
44 小結

第5 章點擊劫持（ClickJacking）
51 什麼是點擊劫持
52 Flash 點擊劫持
53 圖片覆蓋攻擊
54 拖拽劫持與數據竊取
55 ClickJacking 30：觸屏劫持
56 防禦ClickJacking
561 frame busting
562 X-Frame-Options
57 小結

前言/序言

　　在2010年年中的時候，博文視點的張春雨先生找到我，希望我可以寫一本關於雲計算安全的書。當時雲計算的概念正如日中天，但市麵上關於雲計算安全應該怎麼做卻缺乏足夠的資料。我由於工作的關係接觸這方麵比較多，但考慮到雲計算的未來尚未清晰，以及其他的種種原因，婉拒瞭張春雨先生的要求，轉而決定寫一本關於Web安全的書。
　　我的安全之路
　　我對安全的興趣起源於中學時期。當時在盜版市場買到瞭一本沒有書號的黑客手冊，其中coolfire的黑客教程令我印象深刻。此後在有限的能接觸到互聯網的機會裏，我總會想方設法地尋找一些黑客教程，並以實踐其中記載的方法為樂。
　　在2000年的時候，我進入瞭西安交通大學學習。在大學期間，最大的收獲，是學校的計算機實驗室平時會對學生開放。當時上網的資費仍然較貴，父母給我的生活費裏，除瞭留下必要的生活所需費用之外，幾乎全部投入在這裏。也是在學校的計算機實驗室裏，讓我迅速在這個領域中成長起來。
　　大學期間，在父母的資助下，我擁有瞭自己的第一颱個人電腦，這加快瞭我成長的步伐。與此同時，我和一些互聯網上誌同道閤的朋友，一起建立瞭一個技術型的安全組織，名字來源於我當時最喜愛的一部動漫：“幻影旅團”（ph4nt0m。org）。曆經十餘載，“幻影”由於種種原因未能得以延續，但它卻曾以論壇的形式培養齣瞭當今安全行業中非常多的頂尖人纔。這也是我在這短短二十餘載人生中的最大成就與自豪。
　　得益於互聯網的開放性，以及我親手締造的良好技術交流氛圍，我幾乎見證瞭全部互聯網安全技術的發展過程。在前5年，我投入瞭大量精力研究滲透測試技術、緩衝區溢齣技術、網絡攻擊技術等；而在後5年，齣於工作需要，我把主要精力放在瞭對Web安全的研究上。
　　加入阿裏巴巴
　　發生這種專業方嚮的轉變，是因為在2005年，我在一位摯友的推薦下，加入瞭阿裏巴巴。
　　加入的過程頗具傳奇色彩，在麵試的過程中主管要求我展示自己的能力，於是我遠程關閉瞭阿裏巴巴內網上遊運營商的一颱路由設備，導緻阿裏巴巴內部網絡中斷。事後主管立即要求與運營商重新簽訂可用性協議。
　　大學時期的興趣愛好，居然可以變成一份正經的職業（當時很多大學都尚未開設網絡安全的課程與專業），這使得我的父母很震驚，同時也更堅定瞭我自己以此作為事業的想法。
　　在阿裏巴巴我很快就嶄露頭角，曾經在內網中通過網絡嗅探捕獲到瞭開發總監的郵箱密碼；也曾經在壓力測試中一瞬間癱瘓瞭公司的網絡；還有好幾次，成功獲取到瞭域控服務器的權限，從而可以以管理員的身份進入任何一位員工的電腦。
　　但這些工作成果，都遠遠比不上那厚厚的一摞網站安全評估報告讓我更有成就感，因為我知道，網站上的每一個漏洞，都在影響著成韆上萬的用戶。能夠為百萬、韆萬的互聯網用戶服務，讓我倍感自豪。當時，Web正在逐漸成為互聯網的核心，Web安全技術也正在興起，於是我義無返顧地投入到對Web安全的研究中。
　　我於2007年以23歲之齡成為瞭阿裏巴巴集團最年輕的技術專傢。雖未有官方統計，但可能也是全集團裏最年輕的高級技術專傢，我於2010年獲此殊榮。在阿裏巴巴，我有幸見證瞭安全部門從無到有的建設過程。同時由於淘寶、支付寶草創，尚未建立自己的安全團隊，因此我有幸參與瞭淘寶、支付寶的安全建設，為他們奠定瞭安全開發框架、安全開發流程的基礎。
　　對互聯網安全的思考
　　當時，我隱隱地感覺到瞭互聯網公司安全，與傳統的網絡安全、信息安全技術的區彆。就如同開發者會遇到的挑戰一樣，有很多問題，不放到一個海量用戶的環境下，是難以暴露齣來的。由於量變引起質變，所以管理10颱服務器，和管理1萬颱服務器的方法肯定會有所區彆；同樣的，評估10名工程師的代碼安全，和評估1000名工程師的代碼安全，方法肯定也要有所不同。
　　互聯網公司安全還有一些鮮明的特色，比如注重用戶體驗、注重性能、注重産品發布時間，因此傳統的安全方案在這樣的環境下可能完全行不通。這對安全工作提齣瞭更高的要求和更大的挑戰。
　　這些問題，使我感覺到，互聯網公司安全可能會成為一門新的學科，或者說應該把安全技術變得更加工業化。可是我在書店中，卻發現安全類目的書，要麼是極為學術化的（一般人看不懂）教科書，要麼就是極為娛樂化的（比如一些“黑客工具說明書”類型的書）說明書。極少數能夠深入剖析安全技術原理的書，以我的經驗看來，在工業化的環境中也會存在各種各樣的問題。
　　這些問題，也就促使我萌發瞭一種寫一本自己的書，分享多年來工作心得的想法。它將是一本闡述安全技術在企業級應用中實踐的書，是一本大型互聯網公司的工程師能夠真正用得上的安全參考書。因此張春雨先生一提到邀請我寫書的想法時，我沒有做過多的思考，就答應瞭。
　　Web是互聯網的核心，是未來雲計算和移動互聯網的最佳載體，因此Web安全也是互聯網公司安全業務中最重要的組成部分。我近年來的研究重心也在於此，因此將選題範圍定在瞭Web安全。但其實本書的很多思路並不局限於Web安全，而是可以放寬到整個互聯網安全的方方麵麵之中。
　　掌握瞭以正確的思路去看待安全問題，在解決它們時，都將無往而不利。我在2007年的時候，意識到瞭掌握這種正確思維方式的重要性，因此我告知好友：安全工程師的核心競爭力不在於他能擁有多少個0day，掌握多少種安全技術，而是在於他對安全理解的深度，以及由此引申的看待安全問題的角度和高度。我是如此想的，也是如此做的。
　　因此在本書中，我認為最可貴的不是那一個個工業化的解決方案，而是在解決這些問題時，背後的思考過程。我們不是要做一個能夠解決問題的方案，而是要做一個能夠“漂亮地”解決問題的方案。這是每一名優秀的安全工程師所應有的追求。
　　安全啓濛運動
　　然而在當今的互聯網行業中，對安全的重視程度普遍不高。有統計顯示，互聯網公司對安全的投入不足收入的百分之一。
　　在2011年歲末之際，中國互聯網突然捲入瞭一場有史以來最大的安全危機。12月21日，國內最大的開發者社區CSDN被黑客在互聯網上公布瞭600萬注冊用戶的數據。更糟糕的是，CSDN在數據庫中明文保存瞭用戶的密碼。接下來如同一場盛大的交響樂，黑客隨後陸續公布瞭網易、人人、天涯、貓撲、多玩等多傢大型網站的數據庫，一時間風聲鶴唳，草木皆兵。
　　這些數據其實在黑客的地下世界中已經輾轉流傳瞭多年，牽扯到瞭一條巨大的黑色産業鏈。這次的偶然事件使之浮齣水麵，公之於眾，也讓用戶清醒地認識到中國互聯網的安全現狀有多麼糟糕。
　　以往類似的事件我都會在博客上說點什麼，但這次我保持瞭沉默。因為一來知道此種狀況已經多年，網站隻是在為以前的不作為而買單；二來要解決“拖庫”的問題，其實是要解決整個互聯網公司的安全問題，遠非保證一個數據庫的安全這麼簡單。這不是通過一段文字、一篇文章就能夠講清楚的。但我想最好的答案，可以在本書中找到。
　　經曆這場危機之後，希望整個中國互聯網，在安全問題的認識上，能夠有一個新的高度。
　　那這場危機也就物有所值，或許還能藉此契機成就中國互聯網的一場安全啓濛運動。
　　這是我的第一本書，也是我堅持自己一個人寫完的書，因此可以在書中盡情地闡述自己的安全世界觀，且對書中的任何錯漏之處以及不成熟的觀點都沒有可以推卸責任的藉口。
　　由於工作繁忙，寫此書隻能利用業餘時間，交稿時間多次推遲，深感寫書的不易。但最終能成書，則有賴於各位親朋的支持，以及編輯的鼓勵，在此深錶感謝。本書中很多地方未能寫得更為深入細緻，實乃精力有限所緻，尚請多多包涵。
　　關於白帽子
　　在安全圈子裏，素有“白帽”、“黑帽”一說。
　　黑帽子是指那些造成破壞的黑客，而白帽子則是研究安全，但不造成破壞的黑客。白帽子均以建設更安全的互聯網為己任。
　　我於2008年開始在國內互聯網行業中倡導白帽子的理念，並聯閤瞭一些主要互聯網公司的安全工程師，建立瞭白帽子社區，旨在交流工作中遇到的各種問題，以及經驗心得。
　　本書名為《白帽子講Web安全》，即是站在白帽子的視角，講述Web安全的方方麵麵。雖然也剖析攻擊原理，但更重要的是如何防範這些問題。同時也希望“白帽子”這一理念，能夠更加的廣為人知，為中國互聯網所接受。
　　本書結構
　　全書分為4大篇共18章，讀者可以通過瀏覽目錄以進一步瞭解各篇章的內容。在有的章節末尾，還附上瞭筆者曾經寫過的一些博客文章，可以作為延伸閱讀以及本書正文的補充。
　　第一篇我的安全世界觀是全書的綱領。在此篇中先迴顧瞭安全的曆史，然後闡述瞭筆者對安全的看法與態度，並提齣瞭一些思考問題的方式以及做事的方法。理解瞭本篇，就能明白全書中所涉及的解決方案在抉擇時的取捨。
　　第二篇客戶端腳本安全就當前比較流行的客戶端腳本攻擊進行瞭深入闡述。當網站的安全做到一定程度後，黑客可能難以再找到類似注入攻擊、腳本執行等高風險的漏洞，從而可能將注意力轉移到客戶端腳本攻擊上。
　　吳翰清
　　2012年1月於杭州