序1
随着社交网络、微博等一系列新型的互联网产品的诞生,尤其是Web 2.0技术的推广,基于Web环境的面向普通终端用户的互联网应用越来越广泛。在企业界,随着企业信息化的不断深入,各种服务于企业的应用都架设在Web平台上。Web业务的迅速发展把越来越多的个人和企业的敏感数据通过Web展现给用户。这引起黑客们的强烈关注,他们跃跃欲试,利用网站操作系统的漏洞和Web服务程序的SQL注入等漏洞得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据。更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。这些也使得越来越多的用户关注应用层的安全问题,业界对Web应用安全的关注度也逐渐升温。
目前很多业务都依赖于互联网,如网上银行、网络购物、网游等,很多恶意攻击者会对Web服务器进行攻击,想方设法通过各种手段获取他人的个人账户信息以谋取利益。正是因为这样,Web业务平台非常容易遭受攻击。为了防止黑客的攻击,除了对Web服务器做相应的配置外,Web应用程序的设计和开发也需要杜绝黑客攻击的隐患。本书有针对性地面向广大Web应用程序员提供了系统的安全设计原则和编程技巧。
作为应用程序员,你可能非常熟悉你所负责的业务逻辑,你也一定精通几种编程语言和数据库。但是,就我所接触的程序员来说,很少有懂得怎样在编程中避免留下安全漏洞的。对于产品架构师,很多产品在其设计之时没有考虑系统的安全问题,没有相应的安全标准。请仔细阅读本书,本书为你的Web产品提供了一个可行的安全标准,同时也为你提供了系统的针对各种安全漏洞的行之有效的编程技巧。
作者之一的王文君是我领导的惠普软件PPM产品研发团队的安全架构师。他将OWASP Top 10应用于PPM,使之成为该企业级产品的安全标准。事实证明,OWASP Top 10及相应的ESAPI有效地满足了用户对该产品安全方面的苛刻要求。不久前,我们的产品通过了我们的客户之一某国国防部的安全攻击测试。所以,我极力将本书推荐给你。你将会有针对性地在你的程序里满足安全性要求,对于潜在的安全隐患,你将有足够的智慧和手段去解决它。
李维纲
惠普软件部研发团队经理