Web应用安全权威指南.pdf

Web应用安全权威指南 书　　号 978-7- 115-37047- 1 出版日期 2014-09 页　　数 400 定　　价 79.00 元 印刷方式 黑白 类　　别 web安全 ★ 日本Web应用安全第一人权威力作 ★ OWASP北京区负责人、51CTO信息安全专家　作序推荐 ★ 在虚拟机上亲自体验攻击流程 ★ 从原理到对策，网罗Web安全的方方面面 八大章节全面剖析，深入浅出地讲解了SQL注入、XSS、CSRF等Web开发人员必知的Web安全知 识。通过在VMware Player虚拟机上对PHP样本的攻击，详细介绍了安全隐患产生的原理及应对方 法，助你打造安全无虞的Web应用。 作者 德丸 浩 2008年创立HASH咨询公司，任董事长。主要从事网络安全性的诊断与咨询工作，并在工作之余通 过博客普及网络安全知识。兼任KYOCERA Communication Systems股份有限公司技术顾问、独立 行政法人信息处理推进机构 （IPA ）兼职研究员。Twitter ID为@ockeghem。 译者 赵文 程序员，Ruby 语言爱好者。图灵电子书 《关于 mruby 的一切》译者。 个人博客： http://zhaowen.me 译者 刘斌 程序员，关注于后台开发，Java/Ruby爱好者。个人主页： 审校 OWASP子明 OWASP北京区负责人，51CTO信息安全专家，微软的信息安全白皮书的译者。现为远江盛邦 （北 京）公司技术总监。 1 体系的に学ぶ 安全なWeb アプリケーションの作 原书书名 り方 原书书号 978-4797361193 原书国家 日本 原书出版 SoftBank Creative 社 原书页数 496 2 推荐序 我投身信息安全产业领域已经有十五个年头了。过去我通过端口扫描，探测服务器的操作系统类 型；防火墙出现后，我又转攻 Web 应用安全，结交了很多业内的顶级信息安全专家，与他们进行 了大量的交流。 互联网的出现使得大家从传统的纸质信件传递转变为通过互联网电子邮件收发邮件；社交网络的出 现，让我们得以通过互联网来结交更多的朋友。然而，我们在享受这些便利的同时，也承受着恶意 钓鱼、跨站脚本攻击、恶意网马植入等风险。这些行为造成用户的信息泄漏，银行卡、信用卡信息 被恶意盗刷，以致产生大量的经济损失。 通过国际权威的 Web 应用安全机构 OWASP 所发布的 TOP Ten，可以看出 Web 安全的重要性。 现在全球有效的网络攻击中，基于 Web 的占 80% ，SQL 注入与跨站脚本攻击一直都位于 OWASP Top Ten 的前两名，这两种攻击通常都发生在 Web 应用当中。 本次受图灵公司的邀请，参与了本书的校译工作，在进行校译期间看到了赵文和刘斌两位译者深厚 的日文专业技术功底，同时也深深地感受到了日本人工作的严谨，作者在书中为大家准备了详实的 应用案例和代码。 我作为 OWASP 中国北京的负责人，有幸组织和参与了在中国区域内召开的信息安全峰会与亚洲 应用安全峰会，发现国外的信息安全专家更善于总结。他们能通过有效的方法论有效地进行一些精 尖技术的推广和学习，而国内的信息安全专家在介绍一些高精技术时一般只告知结果，而不介绍过 程。 《Web 应用安全权威指南》这本书的作者是日本 Web 安全第一人，足见其编程功底之深厚。本书 没有欧美作者的那些诙谐幽默的用语，更多的是严谨而实用的陈述。作者以 Web 应用的安全隐患 为引子，将产生安全隐患的原因作为整个主线来描述，同时还生动地介绍了试验这些安全隐患的环 境的搭建，以及缺陷代码的示例。同时本书又给大家做了很好的补充说明，讲述了 Web 安全的基 础协议和原理，帮助读者打好 Web 安全的基本功。 最难能可贵的是，本书详尽地讲解了 SQL 注入、XSS、CSRF 等的基本原理，同时又增加了详尽 的代码解析。这是一