《Web应用安全威胁与防治》 试读

      只是看了试读其中的一部分，我就开始冒汗了。

      作为一名普通开发人员，要维护那凌乱的遗留系统和应付层出不穷的变更需求，就经常让我的周末泡汤，偶有时间，也是关注于分析和设计领域。对于安全威胁，我的确所知甚少，我听说过其中一些名词，简单的可以猜出原理（比如会话劫持），但对于大多数名词只是大致了解是怎么回事（比如XSS、CSRF），但并不清楚其原理和防治方法。

      就在上周，手头维护的一个企业内网系统就有用户绕过了证书登录，被发现的原因是他在内网论坛上向其它人传授技巧。管理员汇报上来后问题很快被查出来：以前的口令登录的前端页面虽然没有了，但是后台功能还是保留的，所以用户就自己构造了请求。

      在试读本书之前，我以为安全威胁就是诸如此类，但现在知道了那只是我坐井观天的想法。试读很慷慨的提供了三章内容：

      第6章主要介绍各种安全扫描工具用于自动监测，包括开源的和非开源的，主动扫描的和被动扫描的3种主要工具的使用介绍，分别是HP WebInspect、w3af、Ratproxy。这些工具都非常强大，而且图比较多，讲解详细，对于初学的人很有用。比较有意思的是被动扫描可以和功能测试结合，这么说以后做自动化测试可以一举两得了。

     第10章介绍身份认证和会话管理方面的安全问题，虽然我比较熟悉会话处理和HTTP协议，但从没想到有那么多天才的想法可以应用到攻击中来。更为难得的是本书的作者实际经验丰富，通过演示告诉你每种攻击方法的原理。用图例给出了攻击过程，在描述过程步骤时会介绍相关知识，然后在各个主要步骤上都给出了截图，读着有身临其境之感。会话劫持和会话固定都是想办法得到有效的Session ID，只不过一个是偷，一个是送、非直接会话攻击（为啥不叫间接会话攻击呢？）所描述的在完成登录前设置了会话变量不是很常见，但也是对开发人员的警示，一行不起眼的多余代码也能引起一种攻击。知道攻击原理很重要，但后面的如何预防则弥足珍贵，比如对会话固定的预防方法，对会话令牌的保护，都有现成的模式可以遵循。本章最后面给出的双因子认证流程，更是让我大开眼界，不仅介绍原理，还有现成的方案可以借鉴，太好了。

      第12章介绍跨站请求伪造（CSRF），之前不太了解，所以看的也是心惊肉跳，对于现在的多窗口浏览器来说，只要没全部关闭，那些临时cookie就还在，CSRF就可以利用你的验证信息发出特定请求，这种攻击可以通过图片或链接生成，不留心根本注意不到，只是需要选择时机，毕竟如果你还没登录那么特定请求自然也无效，但如果这种攻击方式和木马结合起来将会十分恐怖。

      作者以大量的实际示例将各种攻击和预防的关键以最明白的方式摆在我面前，虽然只是常见风险中的几种，但已经感觉风险与我是如此的接近，看的我是触目惊心而又欲罢不能。不过，不去了解风险才是最大的风险，我很想向我的同事们都推荐这本书。