有人说互联网是由人组成的,也有人说互联网是由代码组成的。如果说互联网是由代码组成的,那么Web前端代码占据着互联网至少半壁江山;如果说互联网是由人组成的,那么有人的地方就有江湖,江湖中总是有剑客高手,互联网中也总是有技术黑客高手。
剑客也好,黑客也好,他们总是用各种让人叹为观止的奇妙招数让人在还未反应过来时就已经中招。一个人要在江湖中畅意行走,就要会点武功。同理,要在互联网上快意冲浪,就需要了解黑客的知识。只有做到知己知彼,才能“笑傲江湖”。
非常感谢钟晨鸣邀请我写这个序言,钟晨鸣是少有的理论+实战的天才型“黑客”,我非常佩服他在Web安全方面的造诣。更难能可贵的是,他和徐少培将自己的知识精华毫无保留地整理出来,写成“剑谱”公诸于世。“练练武功”不但可以防身,更能强身健体,这本书是我看到他们一路写成的,前后用了一年多的时间,花费了无数心血,写得非常细致,我预先读了本书,不敢独藏,与君共享。
顺便提一下,当前Web 2.0和HTML5已经渗透到了互联网及我们生活的方方面面,例如:
腾讯的Q+和Web QQ上拥有近10万个Web应用。
Google的Chrome网上应用商店提供了7万多个应用,拥有数亿人次的应用用户。
4399.com拥有数万个在线网页游戏。
安卓和苹果上当前17%的应用都是使用HTML 5开发的,而且这个比例还在不断上升。
SAAS的普及,使大量网站应用服务于我们的方方面面。
……
可以说,未来的互联网在很大程度上将由HTML+JavaScript+CSS构成,而安全是互联网发展的基础,互联网安全将在很大程度上取决于Web前端安全,如果前端失陷,我们的个人隐私、在线支付信息等都将受到莫大的挑战。
本书非常系统地讲解了Web相关的安全问题,图文并茂,理论和实战面面俱到,而且非常难得的是,书中有很多意想不到的“黑客”思路,这些思路非常具有实战性和前瞻性。
如果你是开发人员,保护客户的隐私是第一天职,那么看看这本书吧,它能教你如何编写安全的应用。
如果你是普通网民,要保障自己的安全,需要看看我们都面临什么挑战,那么看看这本书吧,它能让你明白平常应该注意什么。
如果你是善意的黑客,想换换思路,看看这本书吧,它能给你意想不到的视角和思路。
知道创宇CTO 杨冀龙
2012年10月8日
序2
网络安全永远伴随着业务的变化而变化。十几年前,互联网的兴起把Web服务推到了浪潮之巅。从此步入Web 1.0时代,伴随Web业务而来的Web安全也逐渐兴起,Web 1.0时代的安全主要体现在服务端动态脚本及Web服务器的安全问题上。到了2004年,Web 2.0的诞生标志着又一次互联网革命到来!而这个时候的Web安全随着2005年由当时年仅19岁的天才Samy Kamkar在MySpace上爆发了历史上第一个XSS Worm震惊了整个世界,由此也宣告Web安全正式步入Web 2.0时代。这个时代的安全关注点已经由服务端全面转向了客户(前)端,浏览器替换Web服务器成为安全战争的主要战场,而前端常用的HTML、JavaScript、CSS、Flash等则成为安全战场的有力武器,浏览器挂马、XSS、CSRF、ClickJacking等成了主流的攻击手段。有攻击就有防御,面对Web 2.0时代的安全问题,Web 1.0时代的防御体系显得力不从心,很多安全从业者们都在思考和尝试新的防御手段,一场基于前端黑客攻防战就此拉开序幕……
作为一名资深的“脚本小子”,我有幸经历了Web安全由Web 1.0向Web 2.0转变的整个过程,也目睹了很多致力于Web 2.0安全技术研究的公司诞生及发展的过程,并结识了一大群优秀的Web安全研究者,其中就有本书的两位作者:钟晨鸣先生和徐少培先生。
(责任编辑:admin) |