《白帽子講Web安全 第2版》正式出版!
01 前言
在2021年中秋假期前一天,吳翰清找到我,問我有沒有興趣參與編寫《白帽子講Web安全》的第2版,我當(dāng)時第一反應(yīng)是想拒絕,因為我自認(rèn)為不擅長寫東西,這么多年連博客都沒怎么寫,而且那時候我剛從阿里離職出來創(chuàng)業(yè),周末都不休息,也擔(dān)心自己抽不出時間來寫。我給的答復(fù)是先考慮一下,等假期后再給確切的答復(fù)。
但很快我內(nèi)心就想明白了,我肯定會接受這件事,一來感覺自己做了這么多年安全需要留下一點總結(jié),再者我要挑戰(zhàn)一下自己沒做過的事,其實從那天開始我就已經(jīng)在構(gòu)思該如何寫這本書了。
歷時近2年,《白帽子講Web安全》第2版終于要跟讀者見面了。在撰寫這本書的過程中,我不禁回想起自己入門網(wǎng)絡(luò)安全的經(jīng)歷,我深知一份好的指引能讓初學(xué)者少走很多彎路。我把自己這些年對Web安全的理解寫在這本書中,希望對網(wǎng)絡(luò)安全的初學(xué)者能有所幫助。
02 我的安全之路
跟很多同行一樣,我走上安全這條路也是因為對計算機的強烈興趣,父母為此還給家里添置了一臺電腦,但我永遠都會記得當(dāng)年我安全入門時的艱難。
當(dāng)時我們農(nóng)村還沒有通網(wǎng)絡(luò),僅有的信息來源是郵購的電腦雜志以及附送的CD。沒人指引我應(yīng)該學(xué)什么、怎么學(xué),有段時間我很想學(xué)編程,但沒有網(wǎng)絡(luò),我不知道能從哪里能獲得一個Visual Basic的安裝包。研究網(wǎng)絡(luò)攻防更是不太可能了,我只能看著雜志上零散的文章一邊學(xué)習(xí)軟件逆向和破解,一邊拿CD上附送的共享軟件(有免費試用期的軟件)練練手。
我花了很多時間去學(xué)習(xí),在學(xué)業(yè)繁重的高中,我甚至用課堂時間閱讀電腦雜志,然而進步非常有限。由于缺少必要的技術(shù)知識儲備,逆向軟件更像是碰運氣去尋找并修改關(guān)鍵的跳轉(zhuǎn)指令。那些年的經(jīng)歷讓我深刻明白,一份系統(tǒng)性介紹安全知識的書籍或教程對初學(xué)者有多么重要。
直到我上大學(xué)后,才有了更多的機會去學(xué)習(xí)安全技術(shù)。大學(xué)幾年對我的影響很大:有小伙伴一起每天研究技術(shù)、導(dǎo)師帶領(lǐng)我們參加全國信息安全大賽(那時候國內(nèi)還沒流行CTF)、每天打DotA(雖然很菜)并研究怎么通過技術(shù)手段獲勝。
但是大學(xué)期間更重要的是我真正系統(tǒng)性的學(xué)習(xí)了計算機和安全課程,不再停留在工具的使用,而是對問題的理解從“知其然”到了“知其所以然”。這對我后續(xù)的工作產(chǎn)生了深遠的影響,大學(xué)期間的成長也讓我獲得了去阿里巴巴工作的機會。
03 我對學(xué)習(xí)安全技術(shù)的思考
如今互聯(lián)網(wǎng)上的資源跟我當(dāng)年安全入門的時候完全不一樣,初學(xué)者動動手指就可以找到任何想要的學(xué)習(xí)資料。安全技術(shù)是一個實戰(zhàn)屬性非常強的領(lǐng)域,大部分安全從業(yè)人員(包括我自己)都是沖著對漏洞挖掘、攻擊技術(shù)的熱情而走進網(wǎng)絡(luò)安全領(lǐng)域。現(xiàn)在網(wǎng)絡(luò)上能找到大量現(xiàn)成的黑客工具和速成教程,初學(xué)者很容易就會被這些內(nèi)容吸引,并且能很快找到攻擊實踐的成就感。
特別是Web安全領(lǐng)域,初學(xué)者不需要很了解操作系統(tǒng),也不需要研究網(wǎng)絡(luò)協(xié)議,甚至可以不會寫代碼,都可以嘗到挖掘Web安全漏洞的甜頭。這會讓很多安全初學(xué)者形成錯誤的認(rèn)知,認(rèn)為計算機基礎(chǔ)知識和基本原理不重要,安全技術(shù)就是會挖漏洞、會使用各種安全工具。
但是真正從事安全領(lǐng)域的工作時,需要的技術(shù)能力會比漏洞挖掘和攻擊技術(shù)要多得多,從我個人的經(jīng)歷,以及這十多年招聘新人的經(jīng)驗來看,對于基礎(chǔ)技術(shù)原理的理解深度,會決定一個人學(xué)習(xí)新技術(shù)的能力,從而決定未來成長的高度。同時,掌握不同領(lǐng)域的技術(shù),在工作當(dāng)中解決問題時會有更靈活的思路、更優(yōu)雅的解決方案。
在給阿里巴巴投簡歷之前,我沒接觸過Web安全,從同學(xué)那里得知阿里巴巴的筆試和面試會側(cè)重Web安全,于是我臨時抱佛腳學(xué)了幾天Web安全,還逆向分析了一下每天使用的酷狗音樂客戶端,通過Hook API修改發(fā)送給服務(wù)端的數(shù)據(jù)包,挖掘了一個存儲型XSS漏洞,我心里想面試過程中我也有Web安全實戰(zhàn)經(jīng)驗可以講。我估計當(dāng)時面試官并不僅是認(rèn)可了我在Web安全領(lǐng)域的能力而錄取我。
進入阿里實習(xí)后,我認(rèn)為在Web安全領(lǐng)域自己還是半桶水。當(dāng)時淘寶網(wǎng)小號泛濫,導(dǎo)師讓我為淘寶網(wǎng)做一個人機識別功能。我現(xiàn)學(xué)了前端和JavaScript,再學(xué)了后端數(shù)據(jù)分析,做完這些就回學(xué)校參加畢業(yè)答辯去了。有天導(dǎo)師遠程給我報喜,說這個功能上線后垃圾賬號數(shù)量懸崖式下跌,后來這個功能變成了在阿里全集團使用的一個重要內(nèi)部產(chǎn)品。
大學(xué)畢業(yè)后我就很少研究二進制相關(guān)的安全了,工作前兩年做Web安全相關(guān)的SDL,負(fù)責(zé)阿里云安全產(chǎn)品的攻防能力建設(shè)之后我在Web安全領(lǐng)域也研究得少了,后來我做了很多不同細(xì)分領(lǐng)域的工作,但是我學(xué)習(xí)到的計算機基礎(chǔ)課程和安全基本原理讓我受用至今,我可以很快勝任不同領(lǐng)域的工作。雖然網(wǎng)絡(luò)安全是個實踐性很強的領(lǐng)域,但是我認(rèn)為掌握基礎(chǔ)原理和方法才是學(xué)習(xí)網(wǎng)絡(luò)安全的核心。
這個想法貫穿在編寫本書的整個過程中,我的理念是把Web安全的基本原理講述清楚,讓讀者明白安全漏洞、攻擊和防御的本質(zhì),在往后學(xué)習(xí)和工作過程中面臨新的問題時就能得心應(yīng)手。
04 關(guān)于第2版
目前市面上關(guān)于Web安全的書籍,要么側(cè)重在漏洞挖掘和安全工具的使用,要么內(nèi)容已經(jīng)跟不上時代發(fā)展。Web安全攻防在近十年有了飛速發(fā)展,瀏覽器和Web標(biāo)準(zhǔn)的快速更新迭代帶來了大量新的安全特性,同時也引入了新的安全威脅,在這過程中也有很多陳舊的技術(shù)已經(jīng)退出了歷史舞臺。這本書與第一版的定位一樣,是一本站在白帽子角度全面介紹Web安全和攻防原理的書籍,我根據(jù)這十年的技術(shù)發(fā)展,加入了很多新的安全內(nèi)容,并刪掉了部分過時的技術(shù)。同時我也根據(jù)自己的工作經(jīng)驗增加了安全產(chǎn)品中用到的檢測和防御技術(shù),希望對自建安全產(chǎn)品的讀者有所幫助。
在第一版已有的內(nèi)容上更新總覺得有點別扭,所以很多技術(shù)章節(jié)我還是按照自己的思路重寫了。我與吳翰清的寫作風(fēng)格還是有比較大的差異,讀者在閱讀本書不同章節(jié)時可能會感受到截然不同的畫風(fēng)。
這一版中我弱化了非技術(shù)的內(nèi)容,我個人的偏好是寫技術(shù)內(nèi)容,寫其他內(nèi)容就容易卡殼。我把安全運營的章節(jié)刪掉了,主要是考慮到這并非我擅長的領(lǐng)域,而且我近幾年都在做安全產(chǎn)品,已經(jīng)遠離甲方安全運營很多年,這個領(lǐng)域又非常依賴實踐經(jīng)驗。如果我從網(wǎng)上看看別人的經(jīng)驗再來寫書,我自己寫得難受,也擔(dān)心寫出來的東西沒營養(yǎng)。我也建議讀者多從實踐和交流中學(xué)習(xí)企業(yè)安全運營的知識。
我的原計劃是將本書用到的示例代碼放到GitHub,并且把演示環(huán)境做成Docker鏡像,但是隨著寫作的進行,我發(fā)現(xiàn)絕大部分的示例代碼都不長,而且我也認(rèn)為讀者要有一定的親自搭建環(huán)境和編碼的實踐才能加深對安全原理的理解,所以就沒有做這部分工作,還請讀者見諒。
寫這本書讓我真正體驗到了寫書不易,創(chuàng)業(yè)以來的這兩年是我人生到目前為止最忙的兩年,只能擠出時間來寫。這個過程中我時常在想:想做一件事還是要趁早!我應(yīng)該在7、8年前就來寫這本書,那時候我有大把的業(yè)余時間,也是自己研究技術(shù)最多的時候,可能會投入更多精力把它寫得更好。
到了本書的審閱階段,看到書中好多處我都在想:我這樣寫能不能讓讀者理解、要不要加一個示例、要不要再延伸一下。實在是最近個人精力非常有限,書雖已完,但一定有很多地方未能寫得更為深入細(xì)致,還請讀者多多包涵。
在此我要感謝電子工業(yè)出版社的編輯許艷,她在長達三個多月的時間里耐心的給我細(xì)致、專業(yè)的修改建議,教會我更嚴(yán)謹(jǐn)?shù)谋磉_,讓第一次寫書的我受益匪淺。
這本書的封面上寫有“白帽子安全講義系列叢書”字眼,我們的目標(biāo)是未來推出更多白帽子系列書籍,這可能需要更多人的努力,我也期待未來有更多的白帽子加入。
