互聯網時代的數據安全與個人隱私受到前所未有的挑戰,各種新奇的攻擊技術層出不窮。如何才能更好地保護我們的數據?《白帽子講Web安全(紀念版)》將帶你走進Web安全的世界,讓你了解Web安全的方方面面。黑客不再神秘,攻擊技術原來如此,小網站也能找到適合自己的安全道路。大公司如何做安全,為什么要選擇這樣的方案呢?在《白帽子講Web安全(紀念版)》中都能找到答案。詳細的剖析,讓你不僅能“知其然”,更能“知其所以然”。
《白帽子講Web安全(紀念版)》根據安全寶副總裁吳翰清之前在互聯網公司若干年的實際工作經驗而寫成,在解決方案上具有極強的可操作性;深入分析諸多錯誤的方法及誤區,對安全工作者有很好的參考價值;對安全開發流程與運營的介紹,同樣具有深刻的行業指導意義。《紀念版》與前版內容相同,僅為紀念原作以多種語言在全球發行的特殊版本,請讀者按需選用。
《白帽子講Web安全(紀念版)》根據安全寶副總裁吳翰清之前在互聯網公司若干年的實際工作經驗而寫成,在解決方案上具有極強的可操作性;深入分析諸多錯誤的方法及誤區,對安全工作者有很好的參考價值;對安全開發流程與運營的介紹,同樣具有深刻的行業指導意義。《紀念版》與前版內容相同,僅為紀念原作以多種語言在全球發行的特殊版本,請讀者按需選用。
更多前端好書,請點擊鏈接
國內著名安全組織Ph4nt0m 的創始人,精通各種攻擊與防御技術。2005年加入(中國)有限公司,2007年成為最年輕的專家。先后完成、、支付寶的安全評估與安全體系建設工作。主導了的安全開發流程建設工作,在應用安全領域內有豐富的經驗。現任安全架構師,負責全集團WEB安全工作以及云計算安全。
及時篇 世界觀安全
第1 章 我的安全世界觀...................................................................................................2
1.1 Web 安全簡史................................................................................................2
1.1.1 中國黑客簡史........................................................................................2
1.1.2 黑客技術的發展歷程..............................................................................3
1.1.3 Web 安全的興起....................................................................................5
1.2 黑帽子,白帽子.............................................................................................6
1.3 返璞歸真,揭秘安全的本質..........................................................................7
1.4 破除迷信,沒有銀彈.....................................................................................9
1.5 安全三要素..................................................................................................10
1.6 如何實施安全評估....................................................................................... 11
1.6.1 資產等級劃分......................................................................................12
1.6.2 威脅分析.............................................................................................13
1.6.3 風險分析.............................................................................................14
1.6.4 設計安全方案......................................................................................15
1.7 白帽子兵法..................................................................................................16
1.7.1 Secure By Default 原則.........................................................................16
1.7.2 縱深防御原則......................................................................................18
1.7.3 數據與代碼分離原則............................................................................19
1.7.4 不可預測性原則...................................................................................21
1.8 小結.............................................................................................................22
(附)誰來為漏洞買單?..................................................................................23
第二篇 客戶端腳本安全
第2 章 瀏覽器安全.........................................................................................................26
2.1 同源策略......................................................................................................26
2.2 瀏覽器沙箱..................................................................................................30
2.3 惡意網址攔截..............................................................................................33
2.4 高速發展的瀏覽器安全...............................................................................36
2.5 小結.............................................................................................................39
第3 章 跨站腳本攻擊(XSS) .....................................................................................40
3.1 XSS 簡介......................................................................................................40
3.2 XSS 攻擊進階..............................................................................................43
3.2.1 初探XSS Payload.................................................................................43
3.2.2 強大的XSS Payload ............................................................................. 46
3.2.3 XSS 攻擊平臺.....................................................................................62
3.2.4 終極武器:XSS Worm..........................................................................64
3.2.5 調試JavaScript ....................................................................................73
3.2.6 XSS 構造技巧......................................................................................76
3.2.7 變廢為寶:Mission Impossible ..............................................................82
3.2.8 容易被忽視的角落:Flash XSS .............................................................85
3.2.9 真的高枕無憂嗎:JavaScript 開發框架..................................................87
3.3 XSS 的防御..................................................................................................89
3.3.1 四兩撥千斤:HttpOnly .........................................................................89
3.3.2 輸入檢查.............................................................................................93
3.3.3 輸出檢查.............................................................................................95
3.3.4 正確地防御XSS ..................................................................................99
3.3.5 處理富文本....................................................................................... 102
3.3.6 防御DOM Based XSS......................................................................... 103
3.3.7 換個角度看XSS 的風險..................................................................... 107
3.4 小結........................................................................................................... 107
第4 章 跨站點請求偽造(CSRF) ............................................................................ 109
4.1 CSRF 簡介................................................................................................. 109
4.2 CSRF 進階................................................................................................. 111
4.2.1 瀏覽器的Cookie 策略........................................................................ 111
4.2.2 P3P 頭的副作用................................................................................. 113
4.2.3 GET? POST?...................................................................................... 116
4.2.4 Flash CSRF........................................................................................ 118
4.2.5 CSRF Worm....................................................................................... 119
4.3 CSRF 的防御.............................................................................................. 120
4.3.1 驗證碼.............................................................................................. 120
4.3.2 Referer Check..................................................................................... 120
4.3.3 Anti CSRF Token................................................................................ 121
4.4 小結........................................................................................................... 124
第5 章 點擊劫持(ClickJacking)............................................................................. 125
5.1 什么是點擊劫持......................................................................................... 125
5.2 Flash 點擊劫持........................................................................................... 127
5.3 圖片覆蓋攻擊............................................................................................ 129
5.4 拖拽劫持與數據竊取................................................................................. 131
5.5 ClickJacking 3.0:觸屏劫持....................................................................... 134
5.6 防御ClickJacking....................................................................................... 136
5.6.1 frame busting ..................................................................................... 136
5.6.2 X-Frame-Options ................................................................................ 137
5.7 小結........................................................................................................... 138
第6 章 HTML 5 安全................................................................................................... 139
6.1 HTML 5 新標簽.......................................................................................... 139
6.1.1 新標簽的XSS.................................................................................... 139
6.1.2 iframe 的sandbox ............................................................................... 140
6.1.3 Link Types: noreferrer ......................................................................... 141
6.1.4 Canvas 的妙用................................................................................... 141
6.2 其他安全問題............................................................................................ 144
6.2.1 Cross-Origin Resource Sharing ............................................................. 144
6.2.2 postMessage——跨窗口傳遞消息......................................................... 146
6.2.3 Web Storage....................................................................................... 147
6.3 小結........................................................................................................... 150
第三篇 服務器端應用安全
第7 章 注入攻擊.......................................................................................................... 152
7.1 SQL 注入.................................................................................................... 152
7.1.1 盲注(Blind Injection) ...................................................................... 153
7.1.2 Timing Attack .................................................................................... 155
7.2 數據庫攻擊技巧......................................................................................... 157
7.2.1 常見的攻擊技巧................................................................................. 157
7.2.2 命令執行........................................................................................... 158
7.2.3 攻擊存儲過程.................................................................................... 164
7.2.4 編碼問題.................................................................
在2010 年年中的時候,博文視點的張春雨先生找到我,希望我可以寫一本關于云計算安全的書。當時云計算的概念正如日中天,但市面上關于云計算安全應該怎么做卻缺乏足夠的資料。我由于工作的關系接觸這方面比較多,但考慮到云計算的未來尚未清晰,以及其他的種種原因,婉拒了張春雨先生的要求,轉而決定寫一本關于Web 安全的書。
我的安全之路
我對安全的興趣起源于中學時期。當時在盜版市場買到了一本沒有書號的黑客手冊,其中coolfire的黑客教程令我印象深刻。此后在有限的能接觸到互聯網的機會里,我總會想方設法地尋找一些黑客教程,并以實踐其中記載的方法為樂。
在2000 年的時候,我進入了西安交通大學學習。在大學期間,較大的收獲,是學校的計算機實驗室平時會對學生開放。當時上網的資費仍然較貴,父母給我的生活費里,除了留下必要的生活所需費用之外,幾乎全部投入在這里。也是在學校的計算機實驗室里,讓我迅速在這個領域中成長起來。
大學期間,在父母的資助下,我擁有了自己的及時臺個人電腦,這加快了我成長的步伐。與此同時,我和一些互聯網上志同道合的朋友,一起建立了一個技術型的安全組織,名字來源于我當時最喜愛的一部動漫:“幻影旅團”(ph4nt0m.org)。歷經十余載,“幻影”由于種種原因未能得以延續,但它卻曾以論壇的形式培養出了當今安全行業中非常多的頂尖人才。這也是我在這短短二十余載人生中的較大成就與自豪。
得益于互聯網的開放性,以及我親手締造的良好技術交流氛圍,我幾乎見證了全部互聯網安全技術的發展過程。在前5 年,我投入了大量精力研究滲透測試技術、緩沖區溢出技術、網絡攻擊技術等;而在后5 年,出于工作需要,我把主要精力放在了對Web 安全的研究上。
加入阿里巴巴
發生這種專業方向的轉變,是因為在2005 年,我在一位摯友的推薦下,加入了阿里巴巴。
加入的過程頗具傳奇色彩,在面試的過程中主管要求我展示自己的能力,于是我遠程關閉了阿里巴巴內網上游運營商的一臺路由設備,導致阿里巴巴內部網絡中斷。事后主管立即要求與運營商重新簽訂可用性協議。
大學時期的興趣愛好,居然可以變成一份正經的職業(當時很多大學都尚未開設網絡安全的課程與專業),這使得我的父母很震驚,同時也更堅定了我自己以此作為事業的想法。
在阿里巴巴我很快就嶄露頭角,曾經在內網中通過網絡嗅探捕獲到了開發總監的郵箱密碼;也曾經在壓力測試中一瞬間癱瘓了公司的網絡;還有好幾次,成功獲取到了域控服務器的權限,從而可以以管理員的身份進入任何一位員工的電腦。
但這些工作成果,都遠遠比不上那厚厚的一摞網站安全評估報告讓我更有成就感,因為我知道,網站上的每一個漏洞,都在影響著成千上萬的用戶。能夠為百萬、千萬的互聯網用戶服務,讓我倍感自豪。當時,Web 正在逐漸成為互聯網的核心,Web 安全技術也正在興起,于是我義無返顧地投入到對Web 安全的研究中。
我于2007 年以23 歲之齡成為了阿里巴巴集團最年輕的技術專家。雖未有官方統計,但可能也是全集團里最年輕的高級技術專家,我于2010 年獲此殊榮。在阿里巴巴,我有幸見證了安全部門從無到有的建設過程。同時由于淘寶、支付寶草創,尚未建立自己的安全團隊,因此我有幸參與了淘寶、支付寶的安全建設,為他們奠定了安全開發框架、安全開發流程的基礎。
對互聯網安全的思考
當時,我隱隱地感覺到了互聯網公司安全,與傳統的網絡安全、信息安全技術的區別。就如同開發者會遇到的挑戰一樣,有很多問題,不放到一個海量用戶的環境下,是難以暴露出來的。由于量變引起質變,所以管理10 臺服務器,和管理1 萬臺服務器的方法肯定會有所區別;同樣的,評估10 名工程師的代碼安全,和評估1000 名工程師的代碼安全,方法肯定也要有所不同。
互聯網公司安全還有一些鮮明的特色,比如注重用戶體驗、注重性能、注重產品時間,因此傳統的安全方案在這樣的環境下可能行不通。這對安全工作提出了更高的要求和更大的挑戰。
這些問題,使我感覺到,互聯網公司安全可能會成為一門新的學科,或者說應該把安全技術變得更加工業化。可是我在書店中,卻發現安全類目的書,要么是極為學術化的(一般人看不懂)教科書,要么就是極為娛樂化的(比如一些“黑客工具說明書”類型的書)說明書。極少數能夠深入剖析安全技術原理的書,以我的經驗看來,在工業化的環境中也會存在各種各樣的問題。
這些問題,也就促使我萌發了一種寫一本自己的書,分享多年來工作心得的想法。它將是一本闡述安全技術在企業級應用中實踐的書,是一本大型互聯網公司的工程師能夠真正用得上的安全參考書。因此張春雨先生一提到邀請我寫書的想法時,我沒有做過多的思考,就答應了。
Web 是互聯網的核心,是未來云計算和移動互聯網的載體,因此Web 安全也是互聯網公司安全業務中最重要的組成部分。我近年來的研究重心也在于此,因此將選題范圍定在了Web 安全。但其實本書的很多思路并不局限于Web 安全,而是可以放寬到整個互聯網安全的方方面面之中。
掌握了以正確的思路去看待安全問題,在解決它們時,都將無往而不利。我在2007 年的時候,意識到了掌握這種正確思維方式的重要性,因此我告知好友:安全工程師的核心競爭力不在于他能擁有多少個0day,掌握多少種安全技術,而是在于他對安全理解的深度,以及由此引申的看待安全問題的角度和高度。我是如此想的,也是如此做的。
因此在本書中,我認為最可貴的不是那一個個工業化的解決方案,而是在解決這些問題時,背后的思考過程。我們不是要做一個能夠解決問題的方案,而是要做一個能夠“漂亮地”解決問題的方案。這是每一名的安全工程師所應有的追求。
安全啟蒙運動
然而在當今的互聯網行業中,對安全的重視程度普遍不高。有統計顯示,互聯網公司對安全的投入不足收入的百分之一。
在2011 年歲末之際,中國互聯網突然卷入了一場有史以來較大的安全危機。12 月21 日,國內較大的開發者社區CSDN 被黑客在互聯網上公布了600 萬注冊用戶的數據。更糟糕的是,CSDN 在數據庫中明文保存了用戶的密碼。接下來如同一場盛大的交響樂,黑客隨后陸續公布了網易、人人、天涯、貓撲、多玩等多家大型網站的數據庫,一時間風聲鶴唳,草木皆兵。
這些數據其實在黑客的地下世界中已經輾轉流傳了多年,牽扯到了一條巨大的黑色產業鏈。這次的偶然事件使之浮出水面,公之于眾,也讓用戶清醒地認識到中國互聯網的安全現狀有多么糟糕。
以往類似的事件我都會在博客上說點什么,但這次我保持了沉默。因為一來知道此種狀況已經多年,網站只是在為以前的不作為而買單;二來要解決“拖庫”的問題,其實是要解決整個互聯網公司的安全問題,遠非保障一個數據庫的安全這么簡單。這不是通過一段文字、一篇文章就能夠講清楚的。但我想好的答案,可以在本書中找到。
經歷這場危機之后,希望整個中國互聯網,在安全問題的認識上,能夠有一個新的高度。
那這場危機也就物有所值,或許還能借此契機成就中國互聯網的一場安全啟蒙運動。
這是我的及時本書,也是我堅持自己一個人寫完的書,因此可以在書中盡情地闡述自己的安全世界觀,且對書中的任何錯漏之處以及不成熟的觀點都沒有可以推卸責任的借口。
由于工作繁忙,寫此書只能利用業余時間,交稿時間多次推遲,深感寫書的不易。但最終能成書,則有賴于各位親朋的支持,以及編輯的鼓勵,在此深表感謝。本書中很多地方未能寫得更為深入細致,實乃精力有限所致,尚請多多包涵。
關于白帽子
在安全圈子里,素有“白帽”、“黑帽”一說。
黑帽子是指那些造成破壞的黑客,而白帽子則是研究安全,但不造成破壞的黑客。白帽子均以建設更安全的互聯網為己任。
我于2008 年開始在國內互聯網行業中倡導白帽子的理念,并聯合了一些主要互聯網公司的安全工程師,建立了白帽子社區,旨在交流工作中遇到的各種問題,以及經驗心得。
本書名為《白帽子講Web 安全》,即是站在白帽子的視角,講述Web 安全的方方面面。雖然也剖析攻擊原理,但更重要的是如何防范這些問題。同時也希望“白帽子”這一理念,能夠更加的廣為人知,為中國互聯網所接受。
本書結構
全書分為4 大篇共18 章,讀者可以通過瀏覽目錄以進一步了解各篇章的內容。在有的章節末尾,還附上了筆者曾經寫過的一些博客文章,可以作為延伸閱讀以及本書正文的補充。
及時篇 我的安全世界觀是全書的綱領。在此篇中先回顧了安全的歷史,然后闡述了筆者對安全的看法與態度,并提出了一些思考問題的方式以及做事的方法。理解了本篇,就能明白全書中所涉及的解決方案在抉擇時的取舍。
第二篇 客戶端腳本安全就當前比較流行的客戶端腳本攻擊進行了深入闡述。當網站的安全做到一定程度后,黑客可能難以再找到類似注入攻擊、腳本執行等高風險的漏洞,從而可能將注意力轉移到客戶端腳本攻擊上。
客戶端腳本安全與瀏覽器的特性息息相關,因此對瀏覽器的深入理解將有助于做好客戶端腳本安全的解決方案。
如果讀者所要解決的問題比較嚴峻,比如網站的安全是從零開始,則建議跳過此篇,先閱讀下一篇“服務器端應用安全”,解決優先級更高的安全問題。
第三篇 服務器端應用安全就常見的服務器端應用安全問題進行了闡述。這些問題往往能引起非常嚴重的后果,在網站的安全建設之初需要優先解決這些問題,避免留下任何隱患。
第四篇 互聯網公司安全運營提出了一個大安全運營的思想。安全是一個持續的過程,最終仍然要由安全工程師來保障結果。
在本篇中,首先就互聯網業務安全問題進行了一些討論,這些問題對于互聯網公司來說有時候會比漏洞更為重要。
在接下來的兩章中,首先闡述了安全開發流程的實施過程,以及筆者積累的一些經驗。然后談到了公司安全團隊的職責,以及如何建立一個健康完善的安全體系。
本書也可以當做一本安全參考書,讀者在遇到問題時,可以挑選任何所需要的章節進行閱讀。
致謝
感謝我的妻子,她的支持是對我較大的鼓勵。本書的成書時日,是陪伴在她的病床邊完成的,我將銘記一生。
感謝我的父母,是他們養育了我,并一直在背后默默地支持我的事業,使我最終能有機會在這里寫下這些話。
感謝我的公司阿里巴巴集團,它營造了良好的技術與實踐氛圍,使我能夠有今天的積累。
同時也感謝在工作中一直給予我幫助和鼓勵的同事、上司,他們包括但不限于:魏興國、湯城、劉志生、侯欣杰、林松英、聶萬泉、謝雄欽、徐敏、劉坤、李澤洋、肖力、葉怡愷。
感謝季昕華先生為本書作序,他一直是所有安全工作者的楷模與學習的對象。
也感謝博文視點的張春雨先生以及他的團隊,是他們的努力使本書最終能與廣大讀者見面。他們的專業意見給了我很多的幫助。
特別感謝我的同事周拓,他對本書提出了很多有建設性的意見。
聯系方式:
郵箱:opensystem@gmail.com
博客:hi.baidu.com/aullik5
微博:t.qq.com/aullik5
微博:weibo.com/n/aullik5
吳翰清
2012 年1 月于杭州
安全是互聯網公司的聲明,也是每一位網民的最基本需求,以為天天聽到到生的白帽子和你分享如何呵護生命,滿足最基本需求,這是一本能味到硝煙味道的書。
——集團首席架構師 阿里云計算總裁 王堅
對于絕大多數的中小網站來說,Web安全是技術上最薄弱而又很難提高的一個環節,而這個環節上發生的問題曾讓很多人寢食難安。感謝此書中分享的諸多寶貴經驗,讓我受益匪淺。同時,強烈建議每個技術團隊的負責人都能閱讀此書,定能讓你受益。
——丁香園CTO馮大輝
作為互聯網的開發人員,在實現功能外也需要重點關注如何避免留TXSS、CSRF等漏洞,否則很容易出現用戶賬號泄密、跨權限操作等嚴重問題,本書講解了通常網站是如何來應對這些漏洞以及保障安全的,從這些難能可貴的實戰經驗中可以學習到如何更好地編寫一個安全的網站。
——淘 寶博學技術專家林吳
安全問題成了互聯網的夢魘,這本書的出現終于能讓我們睡個好覺。
——知道創宇創始人CEO趙偉(icbm)
一直以來安全行業都不缺少所謂的技術和毫無思想的說明書式的文字,缺少的是對于安全本質的:析,關于如何更好地結合實際情況解決問題的思考,以及對這些思考的分享。吳翰清正在嘗試做個事情,而且做到了。
——烏云漏洞平臺創始人方小頓(劍心)
很不錯的一本書,對web安全感興趣的一定要入手一本
內容很不錯。受益匪淺。以前沒有接觸過,這次算漲姿勢了
老師推薦買的,挺好的書,還沒有仔細看,好好看會有很多值得學習的地方的~
我買這本書是因為像學習一下網絡的知識,不知道是不是買錯了。質量很好,我很喜歡,內容生動不教條
非常好,之前看過一部分電子版,覺得不錯,值得購買紙質版收藏
從未整整齊齊的收到過當當的書,不是逼不得已也不會在當當買
東西很好,很不錯,正在看中;要說這快遞可相當給力啊,在深圳,晚上10:30左右買的,第二天下午就到了,相當快!!
感覺還可以吧,畢竟這方面的書還是很少的,有本就算不錯了吧
書不錯,我想說當當網的快遞慢的扣腳,而且快遞連地方都找不到(廣州市區),本來挺喜歡在當當網買書,現在因為快遞的原因轉站**了。很少再回這里買了
包裝太差了,太差了。運輸過程中油搞到我書上了都。。。。
當時挺不錯的一本書,作者挺有名,里邊介紹的東西挺全,也有代碼實例,不適合入門小白看
在圖書館就翻閱了一次,對自己還是有幫助的,慢慢研讀
666666666666666666666666666666666666666666666666666
一直都想買這本書,自己學些東西很有用,趁活動就一起買了,好評
阿里牛人的作品,作為項目開發安全架構參考書挺不錯的了。
書本來很好,但是我想說發貨的太不用心,一般新書都有塑料袋包裝,這個是本裸書,里面有的頁面上居然都有黑色的印記,至少三頁紙上有,對書的質量表示懷疑,當當致力于賣正品嗎?是嗎?
書很好,很棒,封面太low,好像學了新東方的單詞書
感覺書的質量不錯,摸起來比較舒服。我買書一直信任當當
挺詳細的,但是看著書需要有一定的基礎才行,至少要懂PHP和javascript和SQL否則看不懂
這個看了一部分,感覺得有web安全測試的基礎后看這本書比較好!
書很新 物流快 安全從業必備 希望能對我軟考和工作有幫助
大神推薦的書,看了第一章,感覺挺不錯的。雖然這本書對小白來說還是有些難度,但總的來說還是很值的。當當這次沒有把書弄臟弄破挺好,希望繼續保持!!!
安全咱也得學啊,網站都是對外的,安全很重要,尤其是將來大數據的時代。
難得的國人寫的好書,對常見的web安全都涉及到了
每個男孩子小時候都有個做黑客的夢想,黑進女神的電腦,嘿嘿嘿
白帽子講HWEB安全(紀T6念版)白帽子講WREB安全(紀念版)腳本攻擊()簡介攻擊進階初10探強大的攻擊平臺終極武器:調試構造技巧變廢為寶:容易被忽視的角落:真的高枕白帽子講WEB安全(紀念版)可操作性;深入10L分
