**
前言
**
關于Web的格言或警句中，你最喜歡哪一個？這些格言或警句很可能會涉及Web安全或網站所面臨的威脅。本書通過黑客最經常利用的8組安全弱點及漏洞，試著闡明復雜難解的Web安全性問題。對讀者來說，其中一些攻擊可能很熟悉，而另外一些攻擊可能是出乎意料或者比較陌生的，因為這些攻擊并未登上頭條新聞或進入到前十大新聞中。攻擊者可能會針對一些底層公共特性進行利用，這也是為什么諸如跨站腳本攻擊和SQL注入攻擊引起了人們廣泛關注的原因。更厲害的攻擊者可能會把網站設計的工作流或假設中的模糊之處當作目標，利用這些結果會獲得巨大經濟收益，但可能只對某個網站有效，這種方式的優勢在于不會像SQL注入等攻擊那樣暴露出攻擊者的信息。
在Web上，信息就是金錢。信用卡顯然對黑客有巨大的價值，不斷出現非法信用卡交易網站對盜來的信用卡通過論壇、用戶反饋和賣家評價等進行交易。我們的個人信息、密碼、電子郵件帳戶、線上游戲賬戶等都有其價值，更不用說我們盡力使這些內容保密所付出的努力的價值。目前的現實就是經濟間諜以及國家資助的網絡攻擊被人們普遍關注和夸大，其實更缺乏的是可靠的公共信息。（對Web安全而言，“網絡戰爭”存在與否無關緊要，我們更加關注的是如何應對這些。）真實世界中人、公司或國家之間的幾乎所有騙局、欺騙、詭計等在Web上都存在，因為非法獲取Web上有價值的信息很誘人，可以是為了榮譽、國家、金錢，或純粹出于好奇心。
本書學習要點
本書的每一章都給出了針對Web應用程序的不同攻擊實例。首先會探究這些攻擊所采用的方法，然后展示這些攻擊潛在的影響，這些影響可能是針對網站的安全性或用戶的隱私。攻擊甚至可能不會將重點放在攻破某個Web服務器，而是聚焦于攻擊瀏覽器。Web安全性對應用程序和瀏覽器的影響是類似的，畢竟，它們都是存放信息的地方。
每章中接下來的內容會從攻擊的不同角度給出相應的應對措施。應對措施是很棘手的事物，在設計出好的防御措施之前，必須要理解攻擊的工作方式，還要清楚這些應對措施的局限性以及不能覆蓋的漏洞。安全是網站的整體屬性，不是單個保護措施的累加。本書中某些應對措施會被反復提到，有些應對措施可能僅出現一次。
本書面向的讀者
使用Web收取電子郵件、購物或工作的人都將會從本書受益，他們可以了解網站如何泄露個人信息以及怎樣隱藏惡意內容。網站開發人員肩負著網站安全性的最大責任，同時用戶也有自己的責任。用戶的責任主要體現在維護最新的瀏覽器、注意密碼的使用、警惕類似社會工程這類非技術攻擊。
Web應用程序開發人員和安全專家將會從本書介紹的Web攻擊背后的技術細節和方法中受益。提升網站安全性的第一步就是要能夠理解應用程序面臨的威脅，理解不好的編程習慣會導致安全弱點，該弱點會導致漏洞，而漏洞會導致數百萬用戶密碼從未加密的數據庫中泄漏出去。另外，有幾章深入探討了與編程語言或支撐特定站點的技術無關的有效應對措施。
行政管理層能夠從本書中理解Web站點面臨的威脅，而且會看到在很多案例中，僅僅需要一個瀏覽器并動動腦筋，這種簡單攻擊就能對站點和它的用戶帶來負面影響。這同樣說明盡管很多攻擊易于執行，但好的應對措施仍需時間和資源才能得到正確實現。這些要點為分配資金和資源以提高網站安全性，進而保護Web站點管理的大量信息財富提供有力的論據。

目錄

第1章 HTML5
1.1　新的文檔對象模型
1.2　跨域資源共享
1.3　Websocket
1.4　Web存儲
1.5　Web Worker
1.6　雜七雜八
1.7　小結
第 2 章 HTML 注入及跨站腳本攻擊
2.2　部署應對措施
2.3　小結

總結

以上是生活随笔為你收集整理的《Web应用漏洞侦测与防御：揭秘鲜为人知的攻击手段和防御技术》——导读的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。