序2

2011年的秋天，我應(yīng)邀在北京國(guó)際會(huì)議中心舉行的OWASP亞洲峰會(huì)上做了《XSS檢測(cè)防范技術(shù)與實(shí)例研究》演講，在介紹存儲(chǔ)型和反射型跨站腳本的時(shí)候，我寫了下面一段小詩(shī)：

你點(diǎn)，或者不點(diǎn)，蠕蟲就在那里，不增不減。

你看，或者不看，跨站就在那里，不來不去。

默然 相逢

寂靜 悲愴

會(huì)后，電子工業(yè)出版社的畢寧老師找到我，問我是否能寫一本關(guān)于OWASP Top 10的書籍。根據(jù)我自身的經(jīng)驗(yàn)，現(xiàn)在許多IT軟件公司在開發(fā)軟件的時(shí)候都采用了敏捷開發(fā)，功能導(dǎo)向非常嚴(yán)重。產(chǎn)品經(jīng)理在背后催呀催，IT開發(fā)者在前面追呀追，很多軟件產(chǎn)品根本沒有將安全作為一個(gè)驗(yàn)收標(biāo)準(zhǔn)，這樣導(dǎo)致交付客戶使用后，經(jīng)常會(huì)發(fā)生一些安全問題，然后再進(jìn)行修改，成本非常高，當(dāng)時(shí)我就想，如果能寫這么一本書，提高廣大IT開發(fā)者、測(cè)試者的安全意識(shí)，使得在項(xiàng)目需求分析以及開發(fā)的時(shí)候就能將安全考慮進(jìn)去，豈不是很好？于是就爽快地答應(yīng)了。從北京回來以后，與也參加此次會(huì)議的李建蒙先生就這事聊了聊，一拍即合，決定由兩人一起創(chuàng)作這本書。

本書結(jié)構(gòu)

本書分5篇，讀者可以通過瀏覽目錄來了解全書的大體綱要。

第1篇引子，在這篇里，讀者通過閱讀4個(gè)小故事，可以對(duì)常見的網(wǎng)絡(luò)安全事件有個(gè)基本了解，增強(qiáng)從事IT事業(yè)的自豪感，甚至可以學(xué)著做出我們IT人員的“禪師體”，在笑聲中搞定小清新。

第2篇基礎(chǔ)篇，萬(wàn)丈高樓平地起，這篇主要介紹了一些最基本的Web應(yīng)用技術(shù)的概念，如http、https、Cookie、Session等，以及一些OWASP的基本知識(shí)，如風(fēng)險(xiǎn)評(píng)估、Top 10、ESAPI等。

第3篇工具篇，工欲善其事，必先利其器，從事IT安全行業(yè)，沒有一些得力的小工具是萬(wàn)萬(wàn)不行的。本篇介紹了最常見的Apache Web服務(wù)器、各種主流瀏覽器及調(diào)試工具、一些流行的滲透測(cè)試工具及掃描工具，最后介紹了一些常見的漏洞學(xué)習(xí)網(wǎng)站供讀者進(jìn)行學(xué)習(xí)試驗(yàn)。

第4篇攻防篇，這是本書最主要的內(nèi)容，根據(jù)提出問題、分析問題和解決問題三部曲，詳細(xì)而全面地介紹了OWASP Top 10，每一章的最后還附有checklist，以便讀者方便地進(jìn)行查詢。

第5篇安全設(shè)計(jì)和編碼十大原則，作為本書的結(jié)尾部分，這篇主要介紹了我們做安全設(shè)計(jì)和編碼時(shí)最常見的十大原則，提綱挈領(lǐng)。

致謝

感謝畢寧老師，正是你的努力，本書才得以與廣大讀者見面，以后有機(jī)會(huì)我一定要親自彈上一首古箏曲向你致謝。

感謝出版社參與本書編審的老師，我想對(duì)你們說，一路泥濘，只為山花燦爛。

感謝本書的另一作者李建蒙，我要告訴你，我是如此的幸運(yùn)能遇到你，與你的合作真心愉快。

感謝我的經(jīng)理李維綱先生，謝謝你對(duì)我的工作的理解和支持，正是你的諄諄教導(dǎo)讓我大膽地走出去，因此我才能開闊自己的眼界，才能有本書的誕生，同時(shí)也感謝你百忙之中抽空為本書寫序。

感謝我的好朋友許屹，在我有小小得意的時(shí)候，你能給我中肯的建議讓我更冷靜地思考，在我失意的時(shí)候，你總能出現(xiàn)在我的面前給我最最及時(shí)而貼切的安慰讓我勇于面對(duì)。有友如此，夫復(fù)何求？

感謝HP PPM所有的同事們，正是你們?nèi)绱说匦湃挝液徒o我這個(gè)機(jī)會(huì)，我才有機(jī)會(huì)做這些知識(shí)積累，才有本書的面世。他們包括但不限于：陳萍、高陳、何強(qiáng)威、汪燕鋒、任智超、方逸東、Etienne、夏琴嫻、周琴、丁晨、吳留坡、吳韜青、嚴(yán)峰、董歡歡、任君平、趙敏、黃健、李祥青、李文錦、陸純奇、於良偉、宋立平、黃嚴(yán)，等等（我這里不一一列舉所有PPMer名字了）。我想到了兩年前我們組去陽(yáng)澄湖吃蟹的時(shí)候，我寫下的那個(gè)標(biāo)語(yǔ)：“菊黃蟹肥，陽(yáng)澄農(nóng)莊。巔峰之隊(duì)，我為伊狂。”有的時(shí)候我一個(gè)人走在路上，想到你們每個(gè)人的歡聲笑語(yǔ)，想到你們每個(gè)人的聰明才智，暗自佩服。我要對(duì)你們說，能和你們一起工作是我的榮幸。因?yàn)槲抑溃瑹o論我做什么，我的背后都有你們給我支持。同時(shí)也感謝過去在PPM工作過的同事對(duì)我的幫助，他們包含但不限于Vikram Matharoo、Sophia Gu、Imran Tusneem、Narayan Mandaleeka、Youjin Zhu、Subir Parulekar、顧兵、Vadim Filanovsky、金央真、陸由、朱啟敏、郭亞峰等。

感謝HP Software上海的領(lǐng)導(dǎo)黃曉輝、歐陽(yáng)杰子、朱征宇、金衛(wèi)國(guó)、蔣鎰?wù)洹⒅x黎等一直以來對(duì)我的關(guān)心和指導(dǎo)，鼓勵(lì)我一直進(jìn)步。

I would like to show my greatest appreciation to Tomer Gershoni, the Chief Information and Security Officer for HP Hybrid & Cloud. I can't say thank you enough for your tremendous support and help in dealing with PPM SaaS security issues. I'm looking forward to going on collaboration in the near future.

I want to express my sincere gratitude to Asaf Barkan, CTO of HP SPM product unit, for providing a very constructive suggestion and guidance to my research about Two Factor Authentication as a Service (2FAaaS), you're definitely the security expert that everyone wants to be.

感謝新浪微博的夏玉明、Success Factor的吳宇、攜程旅行網(wǎng)的袁勁松和上海測(cè)評(píng)中心的何勇亮、網(wǎng)易的沈明星，你們給了我很多有用的建議，和你們聊天真是人生的一大樂事。

感謝黑客老鷹萬(wàn)濤、上海銀基胡紹勇、金山軟件程沖、上海交大施勇給本書寫的書評(píng)，你們的鼓勵(lì)是我繼續(xù)前進(jìn)的動(dòng)力。

感謝OWASP中國(guó)的同仁們，正是你們提供了一個(gè)如此輕松良好的平臺(tái)，我才得以有機(jī)會(huì)寫作這本書，他們包含但不限于：陳亮、Rip、宋國(guó)徽、袁明坤、付奎、Neil、Ivy、劉永波、Frank、郭濤等。

感謝我的父母，正是他們含辛茹苦地將我養(yǎng)大，教會(huì)我做人的道理。

感謝我家里那位最可愛的王潔怡小姑娘，爸爸寫書的時(shí)候很忙，不能每周都帶你出去玩，你也諒解我，其實(shí)爸爸最大的希望就是你能健康快樂地成長(zhǎng)，你永遠(yuǎn)在我內(nèi)心最柔弱的地方。

最后感謝我的妻子，12年前，我們?cè)陂h科相遇，我還書生年少，你仍白衣如雪。感謝你多年如一日地對(duì)我的照顧、呵護(hù)和默默的支持。一生癡絕處，無夢(mèng)回蘭坪。

郵箱：shanda.wang@gmail.com

微博：http://weibo.com/sanderwang

Blog：http://blog.sina.com.cn/app4sec

王文君

2012年7月于上海