苹果手机找回方法定位_拒绝黑客web 百科_《Web应用安全权威指南》出版后记

发布时间：2016-08-31 17:09

  本文关键词：Web应用安全权威指南，由笔耕文化传播整理发布。

《Web应用安全权威指南》终于出版了，从开始翻译到上市，历时近一年。这期间，译者，尤其是图灵的编辑都付出了巨大的努力。当然，只有获得读者的承认，所有人的努力才不算浪费。

我也是今天刚拿到纸版的书，从印刷质量上来说，还挺不错，字体正合适阅读，封面设计的也很好看；纸质也不错，虽然有点重，不过只有不到400页，拿在手里正好。关键是，价钱也不贵，大概60左右的样子，貌似China-Pub59块多。

如果书中有什么不对的地方，也希望读者能直接和图灵或者译者联系。

1. 关于图灵和本书

首先，我个人认为这本书的 主要面向用户为：初中级水平的开发人员，对安全感兴趣又不是特别深入的人；以及经验相对丰富又想做些查漏补缺的人。

这本书主要是面向开发人员的，意在帮助大家开发安全的Web应用，而不是让你成为黑客或者专业的安全人员。

此外，本书除了全世界共通的技术语言之外，中日之间不同的开发方式，IT背景也能帮我们开阔眼界， 促使我们去考虑一些之前没人去考虑的方面。也许有些东西在国内不现实或者不实用，由于译者能力有限，未能全部按照国内情况改写，深感内疚。

再介绍下原作者德丸浩（Twitter ID：@ockeghem https://twitter.com/ockeghem）。2008年创立HASH咨询公司，任董事长。主要从事网络安全性的诊断与咨询工作，并在工作之余通过博客普及网络安全知识。兼任KYOCERA Communication Systems股份有限公司技术顾问、独立行政法人信息处理推进机构（IPA）客座研究员，活跃于日本安全业界。说到IPA，这是在日本非常权威厉害的IT部门，他们除了举办类似国内的程序员、系统分析员等考试之外，还和有很多非常实用的机构和功能，比如没年的开源大奖，未踏（即还没有人踏入过的领域、技术）大奖等，非常贴近实际产业现状和需求。而KYOCERA，即京瓷，则是最近在中国很火的日本管理大师稻盛和夫所创办的企业。

2. 本书内容

本书共分8章，分别是：

第1章 什么是 Web应用的安全隐患

本章是入门引子，非常简短，主要是介绍了什么什么是Web应用中的安全问题，及其出现原因。并提出安全性bug和安全性功能两个概念。

第2章 搭建试验环境

本章介绍了如何安装书中演示例子的环境，包括虚拟机和调试工具Fiddler等。

本书还附带了一个VMware Player虚拟机，里面是一个简单的Web运行环境，功能不比大多数小网站少，非常方便大家亲手进行实践，包括Apache/PHP/邮件服务等。不过遗憾的是里面环境有些是日文的，大家可以和书对照着看。

整个环境可以从中的“随书下载”菜单下下载。

第3章 Web 安全基础：HTTP、会话管理、同源策略

可以认为这章是进入后续章节的入门预习，主要介绍了HTTP原理和会话功能。以及主动攻击和被动攻击，及同源策略。

什么是HTTP，URL的结构式怎样的，一个网页请求都会有哪些网络传输？HTTP请求和返回的各字段都是什么意思？GET和POST的区别等等问题，以及现代Web赖以生存的Cookie和Session机制及安全问题，本章都进行了详细的说明。

本章后半部分，对被动攻击和同源策略进行了具体的介绍。

第4章 Web应用的各种安全隐患

这是本书中分量最重的一章，因为它介绍了现代Web安全的最重要3个问题：XSS，SQL注入和CSRF。除此之外，还有一些可能会被我们忽略的小问题，比如重定向问题，邮件发送问题，调用OS命令等问题。

第5章 典型安全功能

本章主要对为了保护系统安全所编写的安全性功能相关的最佳实践，主要就是账号管理、认证授权，最后也介绍了日志管理。

比如说错误消息提示，如果登录的时候email并没有在应用中注册，那么错误消息怎么显示？是“该用户不存在”，还是“登录出错”？这个大难，还是留给各位在阅读本书时自己思考吧。

第6章 字符编码和安全

什么，字符编码还会导致安全问题？提到字符编码，你一定想首先，或者只会想到令人头痛的乱码问题；而实际上，字符编码确实是能引起安全隐患的，这根OS，所用语言、页面编码等都有关系，不过作为结论来说，不管从B格还是安全上考虑，都用UTF-8吧。

第7章 如何提高 Web网站的安全性

本章则主要从系统管理和运维的角度来审视如何提高Web网站的安全性。包括如何提高主机安全性，避免域名相关的攻击，，以及通过导入SSL等增强系统安全性等内容。

第8章 开发安全的 Web应用所需要的管理

从管理上重视安全，将安全提高到企业级高度，这是国内开发商和公司需要提高的地方。尤其是在承包合同中，甲方乙方应该各自注意什么问题，应该履行什么义务等，本章都进行了简单介绍，相信的开发人员，尤其是负责管理管理工作的开发人员，都有一定的参考意义。

安全就是要防患未然，与其从技术入手，从管理和人入手都是一个简单低成本的途径。

3. 相关书籍

最后，再来简单的和其他一些本人看过的书籍做些对比。这两本书我都买了，也都读过，都非常不错。三本书虽然可以称得上是同一类别（至少书店里应该会摆一块吧），但是彼此侧重不同，重合的地方不多，将三本书结合起来看反而更相得益彰，对Web安全的认识也将更系统化和全面。

《Web之困：现代Web应用安全指南》：介绍了非常基础和科学的东西，重点从浏览器和HTTP协议上对安全问题进行了阐述，非常基础的技术，细致周密的讲述。

《白帽子讲Web安全》：介绍的内容非常全面，更接近于本书的内容和难易程度。

本书《Web应用安全权威指南》则非常专注于：Web安全和开发，没有涉及过多的额外内容，比如不想一些国内的其他书籍多多少少会“攒”些相关资料。 如果用一个词来形容的话，我想应该是“实用”。

4. 广告时间：

《Web应用安全权威指南》购买地址：

亚马逊： 应用安全权威指南-日-徳丸浩/dp/B00NZNYT0G

互动出版（China-pub）：

京东：

当当：

最后，再次对图灵的编辑，OWASP的子明表示深深的感谢。

  本文关键词：Web应用安全权威指南，由笔耕文化传播整理发布。

本文编号：107010