《白帽子讲web安全》

##安全意识

对工程师来说,安全意识是很重要的,但在工作中往往是最被忽略的。很多时候都是一种侥幸心理,“不会有人来搞我的”,然后就被搞死了。

又有人会觉得,做个转码就好啦,做个加密就好啦,做个编码就好啦等等。由于不了解,低估了入侵的手段。

前者是态度不对,后者是姿势水平太低,而我两种都有。我记得刚工作的时候就写下一个XSS注入点,不久便接到公司安全部门的一张安全工单,此时才意识到自己完全没有考虑过安全的问题。

##认识攻击才能懂得防御

如果对XSS,CSRF,SQL注入等不熟悉的话,(特别是XSS),防御就无从谈起。如果对加密算法不了解的话,也就不懂得如何正确地会用它们。这么说来,开发懂得最基本的heck知识是非常有必要的。

这本书关于web安全的方方面面基本都覆盖到了,看完对各种攻击手段至少都会有一个概念。我所认识的人中,多数连这个概念都没有,防御也就无从谈起。

书的行文一般,但条理还是比较清晰的,也能够从比较高的角度来看待安全问题。除了原理介绍,脚本代码,还有如何构建防御体系的建议,对于像我这样的安全小白来说,收获非常大。