白帽子講Web安全
分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow
也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!
白帽子講Web安全
吳翰清著
ISBN978-7-121-16072-1
2012年3月出版
定價:69.00元
16開
448頁
宣傳語:安全是網際網路公司的生命,也是每一位網民的最基本需求。一位天天聽到炮聲的白帽子和你分享如何呵護生命,滿足最基本需求。這是一本能聞到硝煙味道的書
內 容 簡 介
在網際網路時代,資料安全與個人隱私受到了前所未有的挑戰,各種新奇的攻擊技術層出不窮。如何才能更好地保護我們的資料?本書將帶你走進Web安全的世界,讓你瞭解Web安全的方方面面。黑客不再變得神祕,攻擊技術原來我也可以會,小網站主自己也能找到正確的安全道路。大公司是怎麼做安全的,為什麼要選擇這樣的方案呢?你能在本書中找到答案。詳細的剖析,讓你不僅能“知其然”,更能“知其所以然”。
本書是根據作者若干年實際工作中積累下來的豐富經驗而寫成的,在解決方案上具有極強的可操作性,深入分析了各種錯誤的解決方案與誤區,對安全工作者有很好的參考價值。安全開發流程與運營的介紹,對同行業的工作具有指導意義。
序 言
2012年農曆春節,我回到了浙西的老家,外面白雪皚皚。在這與網路隔離的小鄉村裡,在這可以夜不閉戶的小鄉村裡,過著與網路無關、與安全無關的生活,而我終於可以有時間安安靜靜拜讀吳翰清先生的這本大作了。
認識吳翰清先生源於網路、源於安全,並從網路走向生活,成為朋友。他對於安全技術孜孜不倦的研究,使得他年紀輕輕便成為系統、網路、Web等多方面安全的專家;他對於安全技術的分享,建立了“幻影旅團”(ph4nt0m.org)組織,培養了一批安全方面的技術人才,並帶動了整個行業的交流氛圍;他和同事在大型網際網路公司對安全方面的不斷實踐,全面保護著阿里巴巴集團的安全;他對於安全的反思和總結併發布在他的部落格上,使得我們能夠更為深入地理解安全的意義,處理安全問題的方法論。而今天,很幸運,我們能系統的地看到吳翰清先生多年在大型網際網路公司工作實踐、總結反思所積累的安全觀和Web安全技術。
中國人自己編寫的安全專著不多,而在這為數不多的書中,絕大部分也都是“黑客攻擊”速成手冊。這些書除了在技術上僅立足於零碎的技術點、工具使用手冊、攻擊過程演示,不繫統之外,更為關鍵的是,它們不是以建設者的角度去解決安全問題。吳翰清先生是我非常佩服的“白帽子”,他和一群志同道合的朋友,一直以建設更安全的網際網路為己任,系統地研究安全,積極分享知識,為中國的網際網路安全添磚加瓦。而這本書也正是站在白帽子的視角,講述Web安全的方方面面,它剖析攻擊原理,目的是讓網際網路開發者、技術人員瞭解原理,並通過自身的實踐,告訴大家分析這些問題的方法論、思想以及對應的防範方案。
最讓我共鳴的是“安全運營”的思路,我相信這也是吳翰清先生這麼多年在網際網路公司工作的最大收穫之一,因為運營是網際網路公司的最大特色和法寶。安全是一個動態的過程,因為敵方攻擊手段在變,攻擊方法在變,漏洞不斷出現;我方業務在變,軟體在變,人員在變,妄圖通過一個系統、一個方案解決所有的問題是不現實的,也是不可能的,安全需要不斷地運營、持續地優化。
瑞雪兆豐年,一直在下的雪預示著今年的豐收。我想在經歷了2011年中國網際網路最大安全危機之後,如白雪一樣純潔的《白帽子講Web安全》應該會給廣大的從事網際網路技術人員帶來更多的幫助,保障中國網際網路的安全,迎來網際網路的又一個春天。
季昕華Benjurry
前 言
在2010年年中的時候,博文視點的張春雨先生找到我,希望我可以寫一本關於雲端計算安全的書。當時雲端計算的概念正如日中天,但市面上關於雲端計算安全應該怎麼做卻缺乏足夠的資料。我由於工作的關係接觸這方面比較多,但考慮到雲端計算的未來尚未清晰,以及其他的種種原因,婉拒了張春雨先生的要求,轉而決定寫一本關於Web安全的書。
我的安全之路
我對安全的興趣起源於中學時期。當時在盜版市場買到了一本沒有書號的黑客手冊,其中coolfire 的黑客教程令我印象深刻。此後在有限的能接觸到網際網路的機會裡,我總會想方設法地尋找一些黑客教程,並以實踐其中記載的方法為樂。
在2000年的時候,我進入了西安交通大學學習。在大學期間,最大的收穫,是學校的計算機實驗室平時會對學生開放。當時上網的資費仍然較貴,父母給我的生活費裡,除了留下必要的生活所需費用之外,幾乎全部投入在這裡。也是在學校的計算機實驗室裡,讓我迅速在這個領域中成長起來。
大學期間,在父母的資助下,我擁有了自己的第一臺個人電腦,這加快了我成長的步伐。與此同時,我和一些網際網路上志同道合的朋友,一起建立了一個技術型的安全組織,名字來源於我當時最喜愛的一部動漫:“幻影旅團”(ph4nt0m.org)。歷經十餘載,“幻影”由於種種原因未能得以延續,但它卻曾以論壇的形式培養出了當今安全行業中非常多的頂尖人才。這也是我在這短短二十餘載人生中的最大成就與自豪。
得益於網際網路的開放性,以及我親手締造的良好技術交流氛圍,我幾乎見證了全部網際網路安全技術的發展過程。在前5年,我投入了大量精力研究滲透測試技術、緩衝區溢位技術、網路攻擊技術等;而在後5年,出於工作需要,我把主要精力放在了對Web安全的研究上。
加入阿里巴巴
發生這種專業方向的轉變,是因為在2005年,我在一位摯友的推薦下,加入了阿里巴巴。加入的過程頗具傳奇色彩,在面試的過程中主管要求我展示自己的能力,於是我遠端關閉了阿里巴巴內網上游運營商的一臺路由裝置,導致阿里巴巴內部網路中斷。事後主管立即要求與運營商重新簽訂可用性協議。
大學時期的興趣愛好,居然可以變成一份正經的職業(當時很多大學都尚未開設網路安全的課程與專業),這使得我的父母很震驚,同時也更堅定了我自己以此作為事業的想法。
在阿里巴巴我很快就嶄露頭角,曾經在內網中通過網路嗅探捕獲到了開發總監的郵箱密碼;也曾經在壓力測試中一瞬間癱瘓了公司的網路;還有好幾次,成功獲取到了域控伺服器的許可權,從而可以以管理員的身份進入任何一位員工的電腦。
但這些工作成果,都遠遠比不上那厚厚的一摞網站安全評估報告讓我更有成就感,因為我知道,網站上的每一個漏洞,都在影響著成千上萬的使用者。能夠為百萬、千萬的網際網路使用者服務,讓我倍感自豪。當時,Web正在逐漸成為網際網路的核心,Web安全技術也正在興起,於是我義無返顧地投入到對Web安全的研究中。
我於2007年以23歲之齡成為了阿里巴巴集團最年輕的技術專家。雖未有官方統計,但可能也是全集團裡最年輕的高階技術專家,我於2010年獲此殊榮。在阿里巴巴,我有幸見證了安全部門從無到有的建設過程。同時由於淘寶、支付寶草創,尚未建立自己的安全團隊,因此我有幸參與了淘寶、支付寶的安全建設,為他們奠定了安全開發框架、安全開發流程的基礎。
對網際網路安全的思考
當時,我隱隱地感覺到了網際網路公司安全,與傳統的網路安全、資訊保安技術的區別。就如同開發者會遇到的挑戰一樣,有很多問題,不放到一個海量使用者的環境下,是難以暴露出來的。由於量變引起質變,所以管理10臺伺服器,和管理1萬臺伺服器的方法肯定會有所區別;同樣的,評估10名工程師的程式碼安全,和評估1000名工程師的程式碼安全,方法肯定也要有所不同。
網際網路公司安全還有一些鮮明的特色,比如注重使用者體驗、注重效能、注重產品釋出時間,因此傳統的安全方案在這樣的環境下可能完全行不通。這對安全工作提出了更高的要求和更大的挑戰。
這些問題,使我感覺到,網際網路公司安全可能會成為一門新的學科,或者說應該把安全技術變得更加工業化。可是我在書店中,卻發現安全類目的書,要麼是極為學術化的(一般人看不懂)教科書,要麼就是極為娛樂化的(比如一些“黑客工具說明書”型別的書)說明書。極少數能夠深入剖析安全技術原理的書,以我的經驗看來,在工業化的環境中也會存在各種各樣的問題。
這些問題,也就促使我萌發了一種寫一本自己的書,分享多年來工作心得的想法。它將是一本闡述安全技術在企業級應用中實踐的書,是一本大型網際網路公司的工程師能夠真正用得上的安全參考書。因此張春雨先生一提到邀請我寫書的想法時,我沒有做過多的思考,就答應了。
Web是網際網路的核心,是未來雲端計算和移動網際網路的最佳載體,因此Web安全也是網際網路公司安全業務中最重要的組成部分。我近年來的研究重心也在於此,因此將選題範圍定在了Web安全。但其實本書的很多思路並不侷限於Web安全,而是可以放寬到整個網際網路安全的方方面面之中。
掌握了以正確的思路去看待安全問題,在解決它們時,都將無往而不利。我在2007年的時候,意識到了掌握這種正確思維方式的重要性,因此我告知好友:安全工程師的核心競爭力不在於他能擁有多少個0day,掌握多少種安全技術,而是在於他對安全理解的深度,以及由此引申的看待安全問題的角度和高度。我是如此想的,也是如此做的。
因此在本書中,我認為最可貴的不是那一個個工業化的解決方案,而是在解決這些問題時,背後的思考過程。我們不是要做一個能夠解決問題的方案,而是要做一個能夠“漂亮地”解決問題的方案。這是每一名優秀的安全工程師所應有的追求。
安全啟蒙運動
然而在當今的網際網路行業中,對安全的重視程度普遍不高。有統計顯示,網際網路公司對安全的投入不足收入的百分之一。
在2011年歲末之際,中國網際網路突然捲入了一場有史以來最大的安全危機。12月21日,國內最大的開發者社群CSDN被黑客在網際網路上公佈了600萬註冊使用者的資料。更糟糕的是,CSDN在資料庫中明文儲存了使用者的密碼。接下來如同一場盛大的交響樂,黑客隨後陸續公佈了網易、人人、天涯、貓撲、多玩等多家大型網站的資料庫,一時間風聲鶴唳,草木皆兵。
這些資料其實在黑客的地下世界中已經輾轉流傳了多年,牽扯到了一條巨大的黑色產業鏈。這次的偶然事件使之浮出水面,公之於眾,也讓使用者清醒地認識到中國網際網路的安全現狀有多麼糟糕。
以往類似的事件我都會在部落格上說點什麼,但這次我保持了沉默。因為一來知道此種狀況已經多年,網站只是在為以前的不作為而買單;二來要解決“拖庫”的問題,其實是要解決整個網際網路公司的安全問題,遠非保證一個數據庫的安全這麼簡單。這不是通過一段文字、一篇文章就能夠講清楚的。但我想最好的答案,可以在本書中找到。
經歷這場危機之後,希望整個中國網際網路,在安全問題的認識上,能夠有一個新的高度。那這場危機也就物有所值,或許還能借此契機成就中國網際網路的一場安全啟蒙運動。
這是我的第一本書,也是我堅持自己一個人寫完的書,因此可以在書中盡情地闡述自己的安全世界觀,且對書中的任何錯漏之處以及不成熟的觀點都沒有可以推卸責任的藉口。
由於工作繁忙,寫此書只能利用業餘時間,交稿時間多次推遲,深感寫書的不易。但最終能成書,則有賴於各位親朋的支援,以及編輯的鼓勵,在此深表感謝。本書中很多地方未能寫得更為深入細緻,實乃精力有限所致,尚請多多包涵。
關於白帽子
在安全圈子裡,素有“白帽”、“黑帽”一說。
黑帽子是指那些造成破壞的黑客,而白帽子則是研究安全,但不造成破壞的黑客。白帽子均以建設更安全的網際網路為己任。
我於2008年開始在國內網際網路行業中倡導白帽子的理念,並聯合了一些主要網際網路公司的安全工程師,建立了白帽子社群,旨在交流工作中遇到的各種問題,以及經驗心得。
本書名為《白帽子講Web安全》,即是站在白帽子的視角,講述Web安全的方方面面。雖然也剖析攻擊原理,但更重要的是如何防範這些問題。同時也希望“白帽子”這一理念,能夠更加的廣為人知,為中國網際網路所接受。
本書結構
全書分為4大篇共18章,讀者可以通過瀏覽目錄以進一步瞭解各篇章的內容。在有的章節末尾,還附上了筆者曾經寫過的一些部落格文章,可以作為延伸閱讀以及本書正文的補充。
第一篇 我的安全世界觀是全書的綱領。在此篇中先回顧了安全的歷史,然後闡述了筆者對安全的看法與態度,並提出了一些思考問題的方式以及做事的方法。理解了本篇,就能明白全書中所涉及的解決方案在抉擇時的取捨。
第二篇 客戶端指令碼安全就當前比較流行的客戶端指令碼攻擊進行了深入闡述。當網站的安全做到一定程度後,黑客可能難以再找到類似注入攻擊、指令碼執行等高風險的漏洞,從而可能將注意力轉移到客戶端指令碼攻擊上。
客戶端指令碼安全與瀏覽器的特性息息相關,因此對瀏覽器的深入理解將有助於做好客戶端指令碼安全的解決方案。
如果讀者所要解決的問題比較嚴峻,比如網站的安全是從零開始,則建議跳過此篇,先閱讀下一篇“伺服器端應用安全”,解決優先順序更高的安全問題。
第三篇 伺服器端應用安全就常見的伺服器端應用安全問題進行了闡述。這些問題往往能引起非常嚴重的後果,在網站的安全建設之初需要優先解決這些問題,避免留下任何隱患。
第四篇 網際網路公司安全運營提出了一個大安全運營的思想。安全是一個持續的過程,最終仍然要由安全工程師來保證結果。
在本篇中,首先就網際網路業務安全問題進行了一些討論,這些問題對於網際網路公司來說有時候會比漏洞更為重要。
在接下來的兩章中,首先闡述了安全開發流程的實施過程,以及筆者積累的一些經驗。然後談到了公司安全團隊的職責,以及如何建立一個健康完善的安全體系。
本書也可以當做一本安全參考書,讀者在遇到問題時,可以挑選任何所需要的章節進行閱讀。
致謝
感謝我的妻子,她的支援是對我最大的鼓勵。本書最後的成書時日,是陪伴在她的病床邊完成的,我將銘記一生。
感謝我的父母,是他們養育了我,並一直在背後默默地支援我的事業,使我最終能有機會在這裡寫下這些話。
感謝我的公司阿里巴巴集團,它營造了良好的技術與實踐氛圍,使我能夠有今天的積累。同時也感謝在工作中一直給予我幫助和鼓勵的同事、上司,他們包括但不限於:魏興國、湯城、劉志生、侯欣傑、林松英、聶萬全、謝雄欽、徐敏、劉坤、李澤洋、肖力、葉怡愷。
感謝季昕華先生為本書作序,他一直是所有安全工作者的楷模與學習的物件。
也感謝博文視點的張春雨先生以及他的團隊,是他們的努力使本書最終能與廣大讀者見面。他們的專業意見給了我很多的幫助。
最後特別感謝我的同事周拓,他對本書提出了很多有建設性的意見。
聯絡方式:
部落格:http://hi.baidu.com/aullik5
微博:http://t.qq.com/aullik5
微博:http://weibo.com/n/aullik5
吳翰清
2012年1月於杭州
給我老師的人工智慧教程打call!http://blog.csdn.net/jiangjunshow
