《白帽子讲Web安全》这本书,是我在2012年买的,等我读完的时候,差不多两年过去了,这一点真心惭愧。工作的时候想看,但领导一看到我在看书就给我安排活儿,怕我一直看书对眼睛不好吧。在家的闲散时间把前四章看完之后就搁置了,期间翻越了《Web之困》和《Web前端黑客技术揭秘》,发觉还是这本《白帽子》讲的更浅显也更全面,就又开始从头细细的看。
虽说这本书浅显,但不适合没有网络安全基础或web编程基础的人看,读这本书,需要的前置知识至少是:Javascript,PHP,XSS、注入等Web攻击的基本概念,以及部分Web服务器的配置知识。
这本书涉及面很广。
作者先花了整一章的内容论述自己对网络安全的基本观点和安全问题的本质核心。
在客户端脚本安全章节,覆盖了浏览器安全、HTML5安全和XSS、CSRF等常见攻击手段,除了分析漏洞成因、利用手法以外,作者还补充了防御思路。到底是当年阿里集团的高级安全工程师,关于防御部分的描写还是非常有价值的。这也有别于市面上常见的各种讲黑客技术的书,那些书要么只讲工具怎么玩,要么只分析现有漏洞,对于如何防御大多语焉不详,本来嘛,没有实践经验,自然也就写不出干货来。
在服务器端应用安全章节,覆盖了注入攻击、文件上传漏洞、身份认证与访问控制、Web框架安全、应用层DDoS、PHP安全和web server配置安全,甚至还用独立一章来讲加密算法和随机数,这是其他讲Web安全的书所几乎不涉及的内容。在这些章节中,Web框架安全和应用层DDoS是绝对亮点和精华。乌云上常见各个Web框架的漏洞导致的攻击行为,去年一个struts 2的漏洞就把国内互联网搅了个翻天覆地,可见Web框架安全的重要性。
最后一部分是安全运营,这也是其他讲安全的书籍大多不会说的东西,写书的人绝大多数没有在甲方安全团队的从业经历,运营也就无从谈起。我个人认为这一部分是全书的精华,尤其是有关SDL在企业的应用部分,作者刺总还是写了很多实操经验的。
夸完了,也要发几句牢骚。
刺总可能是太想在一本书里把想说的内容都写全了,到头来大部分章节其实都没有太过深入进去。也难怪,拿XSS举例,单单这一种攻击手段,就可以单独写成一本262页的《XSS跨站脚本攻击剖析与防御》。部分内容也应该说刺总在网上搜罗到的资料,在有一章节我甚至搜索到了原文的博客。
读这本书的时候,基本每一章节我都做了笔记,内容较多,保存在了我的为知笔记中,就不在这里啰嗦了。
总体来说,这本书是网络安全从业者的必读本,通过这本书可以看到Web安全的基本全貌,有了全貌之后再选择在某个领域深挖钻研也才好下手。说到这里我不免想起了另一本书,《CISSP All in One Guide5 认证考试指南》。这是信息安全行业的百科全书了算是,覆盖信息安全所有领域。注意,信息安全和网络安全并不能划等号。《白帽子讲Web安全》就像是Web安全领域的all in one吧。一英里宽,一英寸深。
我在豆瓣上创建了一个豆列:网络安全必读书单 有兴趣的可以参阅。
