網路竟然這麼危險！：阿里巴巴首席安全專家教你全方位保護網站--第3版

前言

我的安全之路

我對安全的興趣起源於中學時期。當時在盜版市場買到了一本沒有書號的駭客手冊，其中coolfire1 的駭客教學令我印象深刻。此後在有限的能接觸到網際網路的機會裡，我總會想尋找一些駭客教學，並以實作其中記載的方法為樂。

在2000 年的時候，我進入了西安交通大學研讀。在大學期間，最大的收穫，是學校的電腦實驗室平時會對學生開放。當時上網的資費仍然較貴，父母給我的生活費裡，除了留下必要的生活所需費用之外，幾乎全部投入在這裡。也是在學校的電腦實驗室裡，讓我迅速在這個領域中成長起來。

大學期間，在父母的資助下，我擁有了第一台個人電腦，這加快了我成長的步伐。與此同時，我和一些網際網路上志同道合的朋友，一起建立了一個技術型的安全性群組織，名字來源於我當時最喜愛的一部動漫：" 幻影旅團"（ph4nt0m.org）。歷經十餘載，" 幻影" 由於種種原因未能得以延續，但它卻曾以論壇的形式培養出了當今安全產業中非常多的頂尖人才。這也是我在這短短二十餘載人生中的最大成就與自豪。

得益於網際網路的開放性，以及我親手締造的良好技術交流氣氛，我幾乎見證了全部網際網路安全技術的發展過程。在前5 年，我投入了大量精力研究滲透測試技術、緩衝區溢位技術、網路攻擊技術等；而在後5 年，出於工作需要，我把主要精力放在了對Web 安全的研究上。

加入阿里巴巴

在2005 年，我在一位摯友的推薦下，加入了阿里巴巴。加入的過程頗具傳奇色彩，在面試的過程中主管要求我展示自己的能力，於是我遠端關閉了阿里巴巴內網上游電信業者的一台路由裝置，導致阿里巴巴內部網路中斷。事後主管立即要求與電信業者重新簽訂可用性協定。

大學時期的興趣愛好，居然可以變成一份正當的職業（當時很多大學都尚未開設網路安全的課程與專業），這使得我的父母很震驚，同時也更堅定了我自己以此作為事業的想法。

在阿里巴巴我很快就嶄露頭角，曾經在內網中透過網路偵測捕捉到了開發總監的電子郵件密碼；也曾經在壓力測試中一瞬間癱瘓了公司的網路；還有好幾次，成功獲得到了網域控伺服器的許可權，進一步可以以管理員的身份進入任何一位員工的電腦。

但這些工作成果，都遠遠比不上那厚厚的一疊網站安全評估報告讓我更有成就感，因為我知道，網站上的每一個漏洞，都在影響著成千上萬的使用者。能夠為百萬、千萬的網際網路使用者服務，讓我倍感自豪。當時，Web 正在逐漸成為網際網路的核心，Web 安全技術也正在興起，於是我義無反顧地投入到對Web 安全的研究中。

2007 年我23 歲，成為了阿里巴巴集團最年輕的技術專家。2010 年我成為全集團裡最年輕的進階技術專家。在阿里巴巴，我有幸見證了安全部門從無到有的建設過程。同時由於淘寶、支付寶草創，尚未建立自己的安全團隊，因此我有幸參與了淘寶、支付寶的安全建設，為他們奠定了安全開發框架、安全開發流程的基礎。

對網際網路安全的思考

當時，我隱隱地感覺到了網際網路公司安全，與傳統的網路安全、資訊安全技術的區別。就如同開發者會遇到的挑戰一樣，有很多問題，不放到一個巨量使用者的環境下，是難以曝露出來的。由於量變引起質變，所以管理10 台伺服器，和管理1 萬台伺服器的方法肯定會有所區別；同樣的，評估10 名工程師的程式安全，和評估1000 名工程師的程式安全，方法肯定也要有所不同。

網際網路公司安全還有一些鮮明的特色，例如注重使用者體驗、注重性能、注重產品發佈時間，因此傳統的安全方案在這樣的環境下可能完全行不通。這對安全工作提出了更高的要求和更大的挑戰。

這些問題，使我感覺到，網際網路公司安全可能會成為一門新的學科，或者說應該把安全技術變得更加工業化。可是我在書店中，卻發現安全類的書，要麼是極為學術化的（一般人看不懂）教科書，要麼就是極為娛樂化的（例如一些" 駭客工具說明書" 型態的書）說明書。極少數能夠深入剖析安全技術原理的書，以我的經驗看來，在工業化的環境中也會存在各種各樣的問題。

這些問題，也就促使我萌發寫一本自己的書，分享多年來工作心得的想法。它將是一本闡述安全技術在企業級應用中實作的書，是一本大型網際網路公司的工程師能夠真正用得上的安全參考書。

Web 是網際網路的核心，是未來雲端運算和移動網際網路的最佳載體，因此Web 安全也是網際網路公司安全業務中最重要的組成部分。我近年來的研究重心也在於此，因此將選題範圍定在了Web 安全。但其實本書的很多想法並不侷限於Web 安全，而是可以放寬到整個網際網路安全的各方面之中。

掌握了以正確的想法去看待安全問題，在解決它們時，都將無往而不利。我在2007 年的時候，意識到了掌握這種正確思維方式的重要性，因此我告知好友：安全工程師的核心競爭力不在於他能擁有多少個0day，掌握多少種安全技術，而是在於他對安全了解的深度，以及由此引申的看待安全問題的角度和高度。我是如此想的，也是如此做的。

因此在本書中，我認為最可貴的不是那一個個工業化的解決方案，而是在解決這些問題時，背後的思考過程。我們不是要做一個能夠解決問題的方案，而是要做一個能夠" 漂亮地" 解決問題的方案。這是每一名優秀的安全工程師所應有的追求。

聯絡方式：

電子郵件：opensystem@gmail.com

網誌：http://hi.baidu.com/aullik5

微網誌：http://t.qq.com/aullik5

微網誌：http://weibo.com/n/aullik5

前言

我的安全之路

我對安全的興趣起源於中學時期。當時在盜版市場買到了一本沒有書號的駭客手冊，其中coolfire1 的駭客教學令我印象深刻。此後在有限的能接觸到網際網路的機會裡，我總會想尋找一些駭客教學，並以實作其中記載的方法為樂。

在2000 年的時候，我進入了西安交通大學研讀。在大學期間，最大的收穫，是學校的電腦實驗室平時會對學生開放。當時上網的資費仍然較貴，父母給我的生活費裡，除了留下必要的生活所需費用之外，幾乎全部投入在這裡。也是在學校的電腦實驗室裡，讓我迅速在這個領域中成長起來。

大學期間，在父母的...

前言
Chapter 01 我的安全世界觀
1.1 Web 安全簡史
1.2 黑帽子，白帽子
1.3 返璞歸真，揭秘安全的本質
1.4 破除迷信，沒有銀彈
1.5 安全三要素
1.6 如何實施安全評估
1.7 白帽子兵法
1.8 小結
Chapter 02 瀏覽器安全
2.1 相同來源策略
2.2 瀏覽器沙盒
2.3 惡意網址攔截
2.4 高速發展的瀏覽器安全
2.5 小結
Chapter 03 跨站指令稿攻擊(XSS)
3.1 XSS 簡介
3.2 XSS 攻擊進階
3.3 XSS 的防禦
3.4 小結
Chapter 04 跨網站請求偽造(CSRF)
4.1 CSRF 簡介
4.2 CSRF 進階
4.3 CSRF 的防禦
4.4 小結
Chapter 05 點擊綁架(ClickJacking)
5.1 什麼是點擊綁架
5.2 Flash 點擊綁架
5.3 圖片覆蓋攻擊
5.4 拖曳綁架與資料竊取
5.5 ClickJacking 3.0：觸摸螢幕綁架
5.6 防禦ClickJacking
5.7 小結
Chapter 06 HTML 5 安全
6.1 HTML 5 新標籤
6.2 其他安全問題
6.3 小結
Chapter 07 植入攻擊
7.1 SQL 植入
7.2 資料庫攻擊技巧
7.3 正確地防禦SQL 植入
7.4 其他植入攻擊
7.5 小結
Chapter 08 檔案上傳漏洞
8.1 檔案上傳漏洞概述
8.2 功能還是漏洞
8.3 設計安全的檔案上傳功能
8.4 小結
Chapter 09 認證與階段管理
9.1 Who am I?
9.2 密碼的那些事兒
9.3 多因素認證
9.4 Session 與認證
9.5 Session Fixation 攻擊
9.6 Session 保持攻擊
9.7 單點登入（SSO）
9.8 小結
Chapter 10 造訪控制
10.1 What Can I Do?
10.2 垂直許可權管理
10.3 水平許可權管理
10.4 OAuth 簡介
10.5 小結
Chapter 11 加密演算法與亂數
11.1 概述
11.2 Stream Cipher Attack
11.3 WEP 破解
11.4 ECB 模式的缺陷
11.5 Padding Oracle Attack
11.6 金鑰管理
11.7 虛擬亂數問題
11.8 小結
Chapter 12 Web 框架安全
12.1 MVC 框架安全
12.2 模版引擎與XSS 防禦
12.3 Web 框架與CSRF 防禦
12.4 HTTP Headers 管理
12.5 資料持久層與SQL 植入
12.6 還能想到什麼
12.7 Web 框架自身安全
12.8 小結
Chapter 13 應用層拒絕服務攻擊
13.1 DDOS 簡介
13.2 應用層DDOS
13.3 驗證碼的那些事兒
13.4 防禦應用層DDOS
13.5 資源耗盡攻擊
13.6 一個正則引發的血案：ReDOS
13.7 小結
Chapter 14 PHP 安全
14.1 標頭檔案漏洞
14.2 變數覆蓋漏洞
14.3 程式執行漏洞
14.4 訂製安全的PHP 環境
14.5 小結
Chapter 15 Web Server 設定安全
15.1 Apache 安全
15.2 Nginx 安全
15.3 jBoss 遠端指令執行
15.4 Tomcat 遠端指令執行
15.5 HTTP Parameter Pollution
15.6 小結Chapter
Chapter 16 網際網路業務安全
16.1 產品需要什麼樣的安全
16.2 業務邏輯安全
16.3 帳戶是如何被盜的
16.4 網際網路的垃圾
16.5 關於網路釣魚
16.6 使用者隱私保護
16.7 小結
Chapter 17 安全開發流程(SDL)
17.1 SDL 簡介
17.2 敏捷SDL
17.3 SDL 實戰經驗
17.4 需求分析與設計階段
17.5 開發階段
17.6 測試階段
17.7 小結
Chapter 18 安全營運
18.1 把安全營運起來
18.2 漏洞修補流程
18.3 安全監控
18.4 入侵偵測
18.5 緊急回應流程
18.6 小結

前言
Chapter 01 我的安全世界觀
1.1 Web 安全簡史
1.2 黑帽子，白帽子
1.3 返璞歸真，揭秘安全的本質
1.4 破除迷信，沒有銀彈
1.5 安全三要素
1.6 如何實施安全評估
1.7 白帽子兵法
1.8 小結
Chapter 02 瀏覽器安全
2.1 相同來源策略
2.2 瀏覽器沙盒
2.3 惡意網址攔截
2.4 高速發展的瀏覽器安全
2.5 小結
Chapter 03 跨站指令稿攻擊(XSS)
3.1 XSS 簡介
3.2 XSS 攻擊進階
3.3 XSS 的防禦
3.4 小結
Chapter 04 跨網站請求偽造(CSRF)
4.1 CSRF 簡介
4.2 CSRF 進階
4.3 CSRF 的防禦
...