本文關鍵詞：Web應用安全權威指南，由筆耕文化傳播整理發(fā)布。

《Web應用安全權威指南》終于出版了，從開始翻譯到上市，歷時近一年。這期間，譯者，尤其是圖靈的編輯都付出了巨大的努力。當然，只有獲得讀者的承認，所有人的努力才不算浪費。

我也是今天剛拿到紙版的書，從印刷質量上來說，還挺不錯，字體正合適閱讀，封面設計的也很好看；紙質也不錯，雖然有點重，不過只有不到400頁，拿在手里正好。關鍵是，價錢也不貴，大概60左右的樣子，貌似China-Pub59塊多。

如果書中有什么不對的地方，也希望讀者能直接和圖靈或者譯者聯系。

1. 關于圖靈和本書

首先，我個人認為這本書的 主要面向用戶為：初中級水平的開發(fā)人員，對安全感興趣又不是特別深入的人；以及經驗相對豐富又想做些查漏補缺的人。

這本書主要是面向開發(fā)人員的，意在幫助大家開發(fā)安全的Web應用，而不是讓你成為黑客或者專業(yè)的安全人員。

此外，本書除了全世界共通的技術語言之外，中日之間不同的開發(fā)方式，IT背景也能幫我們開闊眼界， 促使我們去考慮一些之前沒人去考慮的方面。也許有些東西在國內不現實或者不實用，由于譯者能力有限，未能全部按照國內情況改寫，深感內疚。

再介紹下原作者德丸浩（Twitter ID：@ockeghem https://twitter.com/ockeghem）。2008年創(chuàng)立HASH咨詢公司，任董事長。主要從事網絡安全性的診斷與咨詢工作，并在工作之余通過博客普及網絡安全知識。兼任KYOCERA Communication Systems股份有限公司技術顧問、獨立行政法人信息處理推進機構（IPA）客座研究員，活躍于日本安全業(yè)界。說到IPA，這是在日本非常權威厲害的IT部門，他們除了舉辦類似國內的程序員、系統分析員等考試之外，還和有很多非常實用的機構和功能，比如沒年的開源大獎，未踏（即還沒有人踏入過的領域、技術）大獎等，非常貼近實際產業(yè)現狀和需求。而KYOCERA，即京瓷，則是最近在中國很火的日本管理大師稻盛和夫所創(chuàng)辦的企業(yè)。

2. 本書內容

本書共分8章，分別是：

第1章 什么是 Web應用的安全隱患

本章是入門引子，非常簡短，主要是介紹了什么什么是Web應用中的安全問題，及其出現原因。并提出安全性bug和安全性功能兩個概念。

第2章 搭建試驗環(huán)境

本章介紹了如何安裝書中演示例子的環(huán)境，包括虛擬機和調試工具Fiddler等。

本書還附帶了一個VMware Player虛擬機，里面是一個簡單的Web運行環(huán)境，功能不比大多數小網站少，非常方便大家親手進行實踐，包括Apache/PHP/郵件服務等。不過遺憾的是里面環(huán)境有些是日文的，大家可以和書對照著看。

整個環(huán)境可以從中的“隨書下載”菜單下下載。

第3章 Web 安全基礎：HTTP、會話管理、同源策略

可以認為這章是進入后續(xù)章節(jié)的入門預習，主要介紹了HTTP原理和會話功能。以及主動攻擊和被動攻擊，及同源策略。

什么是HTTP，URL的結構式怎樣的，一個網頁請求都會有哪些網絡傳輸？HTTP請求和返回的各字段都是什么意思？GET和POST的區(qū)別等等問題，以及現代Web賴以生存的Cookie和Session機制及安全問題，本章都進行了詳細的說明。

本章后半部分，對被動攻擊和同源策略進行了具體的介紹。

第4章 Web應用的各種安全隱患

這是本書中分量最重的一章，因為它介紹了現代Web安全的最重要3個問題：XSS，SQL注入和CSRF。除此之外，還有一些可能會被我們忽略的小問題，比如重定向問題，郵件發(fā)送問題，調用OS命令等問題。

第5章 典型安全功能

本章主要對為了保護系統安全所編寫的安全性功能相關的最佳實踐，主要就是賬號管理、認證授權，最后也介紹了日志管理。

比如說錯誤消息提示，如果登錄的時候email并沒有在應用中注冊，那么錯誤消息怎么顯示？是“該用戶不存在”，還是“登錄出錯”？這個大難，還是留給各位在閱讀本書時自己思考吧。

第6章 字符編碼和安全

什么，字符編碼還會導致安全問題？提到字符編碼，你一定想首先，或者只會想到令人頭痛的亂碼問題；而實際上，字符編碼確實是能引起安全隱患的，這根OS，所用語言、頁面編碼等都有關系，不過作為結論來說，不管從B格還是安全上考慮，都用UTF-8吧。

第7章 如何提高 Web網站的安全性

本章則主要從系統管理和運維的角度來審視如何提高Web網站的安全性。包括如何提高主機安全性，避免域名相關的攻擊，，以及通過導入SSL等增強系統安全性等內容。

第8章 開發(fā)安全的 Web應用所需要的管理

從管理上重視安全，將安全提高到企業(yè)級高度，這是國內開發(fā)商和公司需要提高的地方。尤其是在承包合同中，甲方乙方應該各自注意什么問題，應該履行什么義務等，本章都進行了簡單介紹，相信的開發(fā)人員，尤其是負責管理管理工作的開發(fā)人員，都有一定的參考意義。

安全就是要防患未然，與其從技術入手，從管理和人入手都是一個簡單低成本的途徑。

3. 相關書籍

最后，再來簡單的和其他一些本人看過的書籍做些對比。這兩本書我都買了，也都讀過，都非常不錯。三本書雖然可以稱得上是同一類別（至少書店里應該會擺一塊吧），但是彼此側重不同，重合的地方不多，將三本書結合起來看反而更相得益彰，對Web安全的認識也將更系統化和全面。

《Web之困：現代Web應用安全指南》：介紹了非�；A和科學的東西，重點從瀏覽器和HTTP協議上對安全問題進行了闡述，非�；A的技術，細致周密的講述。

《白帽子講Web安全》：介紹的內容非常全面，更接近于本書的內容和難易程度。

本書《Web應用安全權威指南》則非常專注于：Web安全和開發(fā)，沒有涉及過多的額外內容，比如不想一些國內的其他書籍多多少少會“攢”些相關資料。 如果用一個詞來形容的話，我想應該是“實用”。

4. 廣告時間：

《Web應用安全權威指南》購買地址：

亞馬遜： 應用安全權威指南-日-徳丸浩/dp/B00NZNYT0G

互動出版（China-pub）：

京東：

當當：

最后，再次對圖靈的編輯，OWASP的子明表示深深的感謝。

  本文關鍵詞：Web應用安全權威指南，由筆耕文化傳播整理發(fā)布。

本文編號：107010