白帽子讲Web安全（纪念版）

内容简介

互联网时代的数据安全与个人隐私受到的挑战，各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据？《白帽子讲Web 安全（纪念版）》将带你走进Web 安全的世界，让你了解Web 安全的方方面面。黑客不再神秘，攻击技术原来如此，小网站也能找到适合自己的安全道路。大公司如何做安全，为什么要选择这样的方案呢？在《白帽子讲Web 安全（纪念版）》中都能找到答案。详细的剖析，让你不仅能“知其然”，更能“知其所以然”。
《白帽子讲Web 安全（纪念版）》根据安全宝副总裁吴翰清之前在互联网公司若干年的实际工作经验而写成，在解决方案上具有极强的可操作性；深入分析诸多错误的方法及误区，对安全工作者有很好的参考价值；对安全开发流程与运营的介绍，同样具有深刻的行业指导意义。《纪念版》与前版内容相同，仅为纪念原作以多种语言在发行的特殊版本，请读者按需选用。

目录

第一篇 世界观安全
第1 章 我的安全世界观...................................................................................................2
1.1 Web 安全简史................................................................................................2
1.1.1 中国黑客简史........................................................................................2
1.1.2 黑客技术的发展历程..............................................................................3
1.1.3 Web 安全的兴起....................................................................................5
1.2 黑帽子，白帽子.............................................................................................6
1.3 返璞归真，揭秘安全的本质..........................................................................7
1.4 破除迷信，没有银弹.....................................................................................9
1.5 安全三要素..................................................................................................10
1.6 如何实施安全评估....................................................................................... 11
1.6.1 资产等级划分......................................................................................12
1.6.2 威胁分析.............................................................................................13
1.6.3 风险分析.............................................................................................14
1.6.4 设计安全方案......................................................................................15
1.7 白帽子兵法..................................................................................................16
1.7.1 Secure By Default 原则.........................................................................16
1.7.2 纵深防御原则......................................................................................18
1.7.3 数据与代码分离原则............................................................................19
1.7.4 不可预测性原则...................................................................................21
1.8 小结.............................................................................................................22
（附）谁来为漏洞买单？..................................................................................23
第二篇 客户端脚本安全
第2 章 浏览器安全.........................................................................................................26
2.1 同源策略......................................................................................................26
2.2 浏览器沙箱..................................................................................................30
2.3 恶意网址拦截..............................................................................................33
2.4 高速发展的浏览器安全.................................

摘要与插图

在2010 年年中的时候，博文视点的张春雨先生找到我，希望我可以写一本关于云计算安全的书。当时云计算的概念正如日中天，但市面上关于云计算安全应该怎么做却缺乏足够的资料。我由于工作的关系接触这方面比较多，但考虑到云计算的未来尚未清晰，以及其他的种种原因，婉拒了张春雨先生的要求，转而决定写一本关于Web 安全的书。
我的安全之路
我对安全的兴趣起源于中学时期。当时在盗版市场买到了一本没有书号的黑客手册，其中coolfire的黑客教程令我印象深刻。此后在有限的能接触到互联网的机会里，我总会想方设法地寻找一些黑客教程，并以实践其中记载的方法为乐。
在2000 年的时候，我进入了西安交通大学学习。在大学期间，的收获，是学校的计算机实验室平时会对学生开放。当时上网的资费仍然较贵，父母给我的生活费里，除了留下必要的生活所需费用之外，几乎全部投入在这里。也是在学校的计算机实验室里，让我迅速在这个领域中成长起来。
大学期间，在父母的资助下，我拥有了自己的第一台个人电脑，这加快了我成长的步伐。与此同时，我和一些互联网上志同道合的朋友，一起建立了一个技术型的安全组织，名字来源于我当时爱的一部动漫：“幻影旅团”（ph4nt0m.org）。历经十余载，“幻影”由于种种原因未能得以延续，但它却曾以论坛的形式培养出了当今安全行业中多的人才。这也是我在这短短二十余载人生中的成就与自豪。
得益于互联网的开放性，以及我亲手缔造的良好技术交流氛围，我几乎见证了全部互联网安全技术的发展过程。在前5 年，我投入了大量精力研究渗透测试技术、缓冲区溢出技术、网络攻击技术等；而在后5 年，出于工作需要，我把主要精力放在了对Web 安全的研究上。
加入阿里巴巴
发生这种专业方向的转变，是因为在2005 年，我在一位挚友的下，加入了阿里巴巴。
加入的过程颇具传奇色彩，在面试的过程中主管要求我展示自己的能力，于是我远程关闭了阿里巴巴内网上游运营商的一台路由设备，导致阿里巴巴内部网络中断。事后主管立即要求与运营商重新签订可用性协议。
大学时期的兴趣爱好，居然可以变成一份正经的职业（当时很多大学都尚未开设网络安全的课程与专业），这使得我的父母很震惊，同时也更坚定了我自己以此作为事业的想法。
在阿里巴巴我很快就崭露头角，曾经在内网中通过网络嗅探捕获到了开发总监的邮箱密码；也曾经在压力测试中一瞬间瘫痪了公司的网络；还有好几次，成功获取到了域控服务器的权限，从而可以以管理员的身份进入任何一位员工的电脑。
但这些工作成果，都远远比不上那厚厚的一摞网站安全评估报告让我更有成就感，因为我知道，网站上的每一个漏洞，都在影响着成千上万的用户。能够为百万、千万的互联网用户服务，让我倍感自豪。当时，Web 正在逐渐成为互联网的核心，Web 安全技术也正在兴起，于是我义无返顾地投入到对Web 安全的研究中。
我于2007 年以23 岁之龄成为了阿里巴巴集团轻的技术专家。虽未有官方统计，但可能也是全集团里轻的技术专家，我于2010 年获此殊荣。在阿里巴巴，我有幸见证了安全部门从无到有的建设过程。同时由于淘宝、支付宝草创，尚未建立自己的安全团队，因此我有幸参与了淘宝、支付宝的安全建设，为他们奠定了安全开发框架、安全开发流程的基础。
对互联网安全的思考
当时，我隐隐地感觉到了互联网公司安全，与传统的网络安全、信息安全技术的区别。就如同开发者会遇到的挑战一样，有很多问题，不放到一个海量用户的环境下，是难以暴露出来的。由于量变引起质变，所以管理10 台服务器，和管理1 万台服务器的方法肯定会有所区