前　　言一、為什么要寫(xiě)這本書(shū)隨著網(wǎng)絡(luò)的普及，人們的工作、生活已經(jīng)與網(wǎng)絡(luò)深度融合。Web系統(tǒng)由于其高度可定制的特點(diǎn)，非常適合承載現(xiàn)有的互聯(lián)網(wǎng)應(yīng)用。目前，大量在線應(yīng)用網(wǎng)站的出現(xiàn)和使用也印證了這一點(diǎn)。我們每個(gè)人每天都會(huì)打開(kāi)各種網(wǎng)站搜索自己感興趣的內(nèi)容或使用某一個(gè)應(yīng)用，其中每個(gè)站點(diǎn)的功能各不相同，業(yè)務(wù)流程也各自獨(dú)立，并且站點(diǎn)功能及版本的迭代、更新速度非�？臁Ｍ瑫r(shí)，由于大量Web應(yīng)用功能及版本的快速更新，也導(dǎo)致各類新型Web安全問(wèn)題不斷出現(xiàn)。盡管Web安全問(wèn)題的表現(xiàn)形式各異，但深入分析各類安全問(wèn)題的成因會(huì)發(fā)現(xiàn)，這些安全問(wèn)題有一定的共性并能通過(guò)相關(guān)的網(wǎng)絡(luò)安全技術(shù)來(lái)加以防御和解決。
反觀Web安全的學(xué)習(xí)過(guò)程，由于Web安全攻防涉及的技術(shù)、工具繁多，安全問(wèn)題也表現(xiàn)出各種復(fù)雜的形式，學(xué)習(xí)者很容易被這些表象混淆，進(jìn)入“只見(jiàn)樹(shù)木不見(jiàn)森林”的誤區(qū)，無(wú)法快速成長(zhǎng)。因此，本書(shū)作者基于多年的安全研究、教學(xué)、工程實(shí)踐經(jīng)驗(yàn)，以幫助讀者建立知識(shí)體系為目標(biāo)，通過(guò)原理、方法、代碼、實(shí)踐的層層深入，使讀者充分理解Web安全問(wèn)題的成因、危害、關(guān)聯(lián)，進(jìn)而有效地保護(hù)Web系統(tǒng)，抵御攻擊。
二、本書(shū)的主要內(nèi)容本書(shū)試圖整理出Web安全防護(hù)知識(shí)的體系，因此對(duì)每一類Web安全問(wèn)題，都對(duì)從原理到攻防技術(shù)的演進(jìn)過(guò)程加以詳細(xì)的講解。在針對(duì)安全問(wèn)題的分析方面，本書(shū)從基礎(chǔ)的漏洞環(huán)境入手，可排除不同業(yè)務(wù)環(huán)境的干擾，更聚焦于安全問(wèn)題本身。這種方式有利于幫助讀者在掌握每種Web安全問(wèn)題的解決方案的同時(shí)，對(duì)整個(gè)Web安全防護(hù)體系建立清晰的認(rèn)知。
本書(shū)主要內(nèi)容共分為5部分，各部分內(nèi)容如下。
第一部分（包括第1章）：Web應(yīng)用概念龐大、涉及的協(xié)議廣泛，因此，此部分沒(méi)有系統(tǒng)地介紹所有的基礎(chǔ)內(nèi)容，而是抽取了與Web安全關(guān)系密切的協(xié)議等方面的基礎(chǔ)知識(shí)。這些知識(shí)對(duì)后續(xù)理解Web攻防技術(shù)極為關(guān)鍵。
第二部分（包括第2～8章）：重點(diǎn)講解Web應(yīng)用中的基礎(chǔ)漏洞，從用戶端到服務(wù)器端依次開(kāi)展分析。首先從主要攻擊用戶的跨站請(qǐng)求攻擊入手，之后了解Web應(yīng)用中的請(qǐng)求偽造攻擊、針對(duì)Web應(yīng)用于數(shù)據(jù)庫(kù)交互產(chǎn)生的SQL注入攻擊。再針對(duì)可直接上傳各類危險(xiǎn)文件的上傳漏洞進(jìn)行分析，并說(shuō)明上傳漏洞中常用的木馬的基本原理。最后對(duì)服務(wù)器端的危險(xiǎn)應(yīng)用功能（文件包含、命令執(zhí)行漏洞）進(jìn)行分析。此部分重點(diǎn)講解上述基本漏洞的原理及攻防技術(shù)對(duì)抗方法，并針對(duì)每個(gè)漏洞的測(cè)試及防護(hù)方法的技術(shù)演進(jìn)思路進(jìn)行整理。
第三部分（包括第9～15章）：重點(diǎn)講解Web應(yīng)用的業(yè)務(wù)邏輯層面的基礎(chǔ)安全問(wèn)題。Web應(yīng)用基于用戶管理機(jī)制來(lái)提供個(gè)性化的服務(wù)，用戶的身份認(rèn)證則成為安全開(kāi)展Web應(yīng)用的基礎(chǔ)功能。此部分從用戶的未登錄狀態(tài)入手，講解用戶注冊(cè)行為中潛在的安全隱患。然后對(duì)用戶登錄過(guò)程中的安全問(wèn)題進(jìn)行整理，并對(duì)常見(jiàn)的用戶身份識(shí)別技術(shù)進(jìn)行原理說(shuō)明。最后對(duì)用戶登錄后的基本功能及用戶權(quán)限處理方式進(jìn)行講解。
第四部分（包括第16～19章）：主要講解在實(shí)際Web站點(diǎn)上線之后的基礎(chǔ)防護(hù)方式，并從Web整體應(yīng)用的視角展示攻防對(duì)抗過(guò)程中的技術(shù)細(xì)節(jié)。重點(diǎn)針對(duì)Web服務(wù)潛在的基礎(chǔ)信息泄漏方及對(duì)應(yīng)處理方法進(jìn)行總結(jié)。最后提供可解決大部分問(wèn)題的簡(jiǎn)單防護(hù)方案，這對(duì)安全運(yùn)維有較大的用途。
第五部分（包括第20～23章）：在前幾部分的基礎(chǔ)上總結(jié)Web安全防護(hù)體系建設(shè)的基本方法。本部分先從Web安全中常見(jiàn)的防護(hù)類設(shè)備入手，分析各類安全防護(hù)設(shè)備的特點(diǎn)及適用范圍。之后，對(duì)目前業(yè)界權(quán)威的安全開(kāi)發(fā)體系進(jìn)行基本介紹，并對(duì)安全服務(wù)中的滲透測(cè)試的主要流程進(jìn)行說(shuō)明。最后以實(shí)例的形式展示如何進(jìn)行快速的代碼審計(jì)。
以上每個(gè)部分的知識(shí)均為遞進(jìn)關(guān)系。第一部分和第二部分幫助讀者了解Web應(yīng)用中各類漏洞的原理及測(cè)試方式、防護(hù)手段等。第三部分和第四部分讓讀者了解業(yè)務(wù)層面和整體安全的防護(hù)方法。第五部分則從整體層間構(gòu)建有效防護(hù)體系的思路。最后可綜合掌握Web安全防護(hù)的整體內(nèi)容，這也是本書(shū)希望讀者獲得的閱讀效果。
三、本書(shū)的讀者對(duì)象本書(shū)適合所有對(duì)Web安全感興趣的初學(xué)者以及從事安全行業(yè)的相關(guān)人員，主要包括以下幾類讀者：
信息安全及相關(guān)專業(yè)本科生本書(shū)以基本的漏洞為例，循序漸進(jìn)地梳理攻防對(duì)抗方式及各類漏洞的危害。信息安全及相關(guān)專業(yè)學(xué)生可根據(jù)這些內(nèi)容快速入門(mén)，并以此作為基礎(chǔ)來(lái)探索信息安全更前沿的領(lǐng)域。
安全運(yùn)維人員本書(shū)提供了大量漏洞利用特征及有效的安全運(yùn)維方式，可供安全運(yùn)維人員在實(shí)際工作中快速發(fā)現(xiàn)系統(tǒng)安全狀況，并對(duì)安全漏洞進(jìn)行基本的處理。
安全開(kāi)發(fā)人員本書(shū)列舉了各種漏洞的原理分析及防護(hù)方式，可幫助開(kāi)發(fā)人員在Web系統(tǒng)的開(kāi)發(fā)過(guò)程中對(duì)漏洞進(jìn)行規(guī)避，進(jìn)而從根源上避免Web漏洞的出現(xiàn)。
安全服務(wù)人員安全服務(wù)人員重點(diǎn)關(guān)注如何快速發(fā)現(xiàn)目標(biāo)Web系統(tǒng)的安全隱患并針對(duì)問(wèn)題提出處理建議。此類讀者建議重點(diǎn)閱讀本書(shū)前三部分以及最后一部分的最后兩章，可為安全服務(wù)的工作開(kāi)展提供更全面的技術(shù)支持。
攻防技術(shù)愛(ài)好者對(duì)于攻防技術(shù)愛(ài)好者來(lái)說(shuō)，本書(shū)提供了體系化的Web安全基礎(chǔ)原理，可有效豐富個(gè)人的知識(shí)儲(chǔ)備體系。
四、如何閱讀這本書(shū)本書(shū)雖然篇