国际信息安全专家10余年网络安全实战经验的结晶，手把手教你如何提高网站的安全性。
　　从网站上线时、上线后到遭受攻击，深入剖析网站常见漏洞、攻击及原理，详细讲解应对各种攻击和漏洞的实用策略。

　　本书全方位介绍网站安全防护措施与策略，这些策略用于解决最严重的漏洞及对抗当今网络罪犯使用的攻击方法。无论你是在处理电子商务网站上的拒绝服务攻击，还是对银行系统的造假事件进行应急响应，或者是对新上线的社交网站保护用户数据，翻阅本书都能找到某种场景下有效的应对方案。本书是作者多年来在政府、教育、商业网站中与大量攻击者的多种攻击对抗中获取的经验总结，内容丰富，实用性强。本书根据网站安全问题的类型将安全策略分为三大部分。第一部分“准备战场”介绍如何打造必将遭受网络攻击的网站平台。当你上线一个新的网站时，应该实施本部分介绍的安全策略。第二部分“非对称战争”介绍如何分析网站的数据，发现恶意行为。第三部分“战略反攻”介绍当发现网站上的恶意行为后如何应对这些攻击，以及怎样高效地使用不同的响应方式来应对攻击。

　　Ryan Barnett，国际著名信息安全专家，有10余年的政府及商业网站防护经验，目前是Trustwave的SpiderLabs团队核心成员，该团队专注于渗透测试、安全事件响应及应用安全的防护。他同时是ModSecurity Web应用防火墙项目的领导者、SANS协会的认证导师以及多个业内大会（如Black Hat、SANS AppSec会议、OWASP AppSecUSA等）的演讲嘉宾。
　　许鑫城， 腾讯安全平台部应用运维安全工程师，负责腾讯Web业务的漏洞防护等相关工作，研究兴趣包括Web安全、网络安全、Linux后台开发、大数据等。

版权信息
译者序
序言
前言
作者简介
第一部分 准备战场
第1章 网站驻防
1.1 基本防护措施
1.2 HTTP审计日志
1.3 日志集中
第2章 漏洞检测与修复
2.1 内部开发的网站
2.2 外部提供的网站
2.3 虚拟补丁
2.4 主动地识别漏洞
2.5 手动修复漏洞
第3章 给黑客的陷阱
3.1 陷阱的概念
第二部分 非对称战争
第4章 信用度与第三方信息关联
4.1 识别可疑请求源
第5章 请求数据分析
5.1 获得请求数据
5.2 输入校验异常
第6章 响应数据分析
第7章 身份验证防护
第8章 防护会话状态
第9章 防止应用层攻击
第10章 防止客户端攻击
第11章 文件上传功能防护
第12章 限制访问速率及程序交互流程
第三部分 战略反攻
第13章 被动的响应动作
第14章 主动的响应动作
第15章 侵入式响应动作

　　译者序
　　在得知机械工业出版社引进本书时，我非常欣喜。当前Web安全形势严峻，大公司有自己的安全团队处理相关的安全事件，并构建自己的安全防御体系，而更多的中小站点是没有这样的能力的。本书主要介绍漏洞防护相关原理，及如何使用开源Web应用防火墙软件ModSecurity进行网站安全防护，提高站点安全性。传统的硬件WAF盒子等第三方防护方案是选择之一，而开源的防火墙软件ModSecurity的出现则使中小站点构建自己的安全防护体系成为可能。本书可作为ModSecurity的实践手册，指导防护系统的部署。而对于安全从业人员或初学者来说，本书介绍了多种防护策略，可以扩充相关思路。
　　在此感谢lpx的默默支持，感谢我的leader jima及团队成员对我安全知识的指导，在此还要感谢机械工业出版社编辑的支持使本书得以出版。译者非专业翻译人士，书中谬误，祈请见谅，期待反馈。
　　最后简单介绍我们团队，腾讯安全平台部致力于黑客对抗与打击盗号等，主要工作包括但不限于Web安全漏洞发现与防护、DDoS安全防护、入侵检测、保护终端安全等，网址是//security.tencent.com，欢迎交流，共同提高。

　　“我们的网站安全吗？”如果你们公司的首席执行官这样问你，你会怎么回答？如果你回答说“是”，CEO可能会说：“证明给我看”。你会怎样证明你的网站防护得很好了呢？这里列举了部分回答并说明了每一个回答的缺陷。第一个：
　　我们的网站符合支付卡产业数据安全标准（Payment Card Industry Data Security Standard，PCI DSS），所以是安全的。
　　与其他标准一样，PCI DSS是最低限度的标准。这意味着，达到了标准并不能确保你的站点不会被入侵。PCI DSS本质上是关于风险转移而不是风险消除（从信用卡公司转移到商业银行）。如果企业不真正的接受通过加固他们的应用环境来消除风险这一观念，而只是做到PCI DSS要求的，这一套标准认证流程只不过是一纸空文。虽然PCI是值得信赖的，但请记住：
　　如果你的站点是安全的，通过PCI审计很容易，而只是通过了PCI审计，却不一定代表你的站点就是安全的。
　　通常来讲，标准都是以控制为目的的，往往以实际的措施为中心，但不分析或者监控这些措施在实际操作中能产生的效果。一位德高望重的安全领域领袖Richard Bejtlich，生动地说明了这个问题：
　　想象一个场景：一只美式足球队想要在一个季度赛中评估他们成功的概率。足球队管理人员决定量取每位球员的身高和体重、记录40码冲刺的速度、记录每位球员毕业的大学，他们收集了许多各方面的统计数据，并且花时间来讨论哪一个指标能最好地衡量他们球队取胜的概率。是需要体重超过300磅呢？还是接球员的鞋子要大于11码呢？抑或是首发阵容的球员都来自东北部呢？这些因素从分析来看似乎都与这支队伍的成败极其相关。但如果一名旁观者看到这种情况只会说：“看看计分板吧，你们的分数落后了42比7，你们有个1胜6败的记录了。真是一群失败者。”
　　这就是安全领域投入导向与输出导向的本质区别。只有到了线上环境，你才能知道为安全所做的准备是有用的，还是毫无用处的。由于开发环境与预发布环境很少能保持与线上环境完全一致，只有到了真正有恶意用户攻击的时候，你才能真正知道你的网站的安全性。
　　我们的网站部署了商业的Web安全设备，所以我们的Web应用是安全的。
　　如此回答是对安全厂商的过度信任而导致的。安全厂商的网站或产品说明书上说他们的产品会使网站更安全，而在实际环境中并非如此。如果使用不当，安全产品与其所防护着的网站一样会有问题。如果不恰当地配置和部署，它们甚至可能成为攻击者操纵或绕过的潜在问题。
　　由于我们使用了SSL，所以我们是安全的。
　　许多电子商务网站在显眼的地方显示一张锁的图片。这表明他们使用了从权威的认证授权机构（CA）购买的Secure Socket Layer（SSL）证书来确保网站安全。使用SSL证书有助于避免如下攻击：
　　•网络层截取。没使用SSL的话，数据是通过非加密通道在网上传输的。这意味可以从传输通道的路径的任意节点上截取到完整的网络流量。
　　•网络诈骗。没有有效的SSL站点的证书，攻击者很难模仿真正的站点进行钓鱼诈骗。
　　SSL的使用有助于缓解这两类问题，但有一个明显的弱点：SSL完全无法阻止一个恶意用户直接攻击网站。事实上，许多攻击者更喜欢把目标锁定在使用了SSL的网站上，因为这些加密通道可以在其他网络监控设备的监控下掩护他们的攻击。
　　我们有警报显示我们阻断了Web攻击，所以我们的Web应用是安全的。