试读《白帽子讲Web安全》随感

出于对Web安全方面的兴趣，我看完了这本书的试读部分，读完之后的第一感觉是作者的写作能力很是不错，内容写得比较风趣，也比较明了。首先看了开篇的介绍，感觉作者就属于那种少年天才之类的人物，他在自己的简介中说道自己2000年上西安交通大学，2007年以23岁之龄成为阿里巴巴最年轻的技术专家，这一算，作者16岁就上大学了（我16岁的时候在干吗？我在上高一吧）。之后看了作者的个人博客，首页上个人签名很有意思-Secur1ty just lik3 a girl. B0th of th3m h4ve s0me h0les. Y0u alw4ys try to t0uch the h0le, but n0t 3very tim3 y0u c4n 3xpl0it it!（1-i, 3-e, 4-a, 0-o）

虽然我不是这方面的能手（基本上什么都不懂），整本书的关键字中，估计以前就知道SQL注入，像XSS、CSRF之类的没有听过，但是在作者的解释下至少能了解这是一种什么样的攻击，以及如何解决这些攻击。再看第五章点击劫持的时候，有了似曾相识的感觉，还记不记得，当你点击某一图片（如XX美女）的时候，跳出了一个网站，再点击，再跳出另一个网站，不一会儿，你的浏览器上开了N个页面，这时你怒了，大吼一声：什么玩意儿，还让不让人看了。

回到第一章，作者讲了白帽子和黑帽子。白帽子，则是指那些精通安全技术，但是工作在反黑客领域的专家们；而黑帽子，则是指利用黑客技术造成破坏，甚至进行网络犯罪的群体。黑帽子有选择性的一点突破，寻找系统的漏洞。而对于白帽子来说，必须找到系统的所有弱点，不能有遗漏，才能保证系统不会出现问题。这就是“破坏比建设更容易”，作为黑帽子有较大的利益可图，导致现在的互联网很不安全，需要大家注重安全意识。

在试读的最后一章，作者还介绍了一些流行的WEB框架的一些问题以及可以实行的一些安全方案，看书的时候也只能看到，并不能有效理解，因为对这方面不了解，只是出于兴趣的原因看了试读的章节。总体感觉还是很不错的，至少在作者的笔下，这些生涩的概念显得易于理解，同时也拓展了自己关于web安全方面的视野。