《白帽子讲Web安全》- 学习笔记

一、为何要了解Web安全

　　最近加入新公司后，公司的官网突然被Google标记为了不安全的诈骗网站，一时间我们信息技术部门成为了众矢之的，虽然老官网并不是我们开发的（因为开发老官网的前辈们全都跑路了）。我们花了很多时间做Web安全扫描以及修复，在检查和修复过程中，发现老系统的代码的不可维护性（再次说明整洁代码之道Clean Code的重要性）及安全性（同时也说明了Web安全的重要性）。

　　修复之后，向Google提出了申诉，漫长的等待（1~2天对于公司的官网来说就是Money啊！）后Google放开了。当我们庆幸终于把该死的老官网的安全问题解决了的时候，过了几天后又被Google加入黑名单了，WTF！于是，再次安全扫描，排除一切可能的原因，做好备用方案，再次进入安全修复迭代...

　　对于我们来说，这次的经验让我意识到，不遵守整洁代码之道和安全系统之道的系统就像一颗定时炸弹，你不知道它什么时候就会爆炸又或者是虚晃一枪，又让我想起整洁代码之道一书的封面：

　　上面这张图是M104：草帽星系，其核心是一个质量超大的黑洞，有100万个太阳那么重，环绕着M104的光环就像一顶墨西哥草帽，仿佛经历了大爆炸之后碎片四溅的产物。联系到我们所经历过的没由整洁代码风格各异不可维护的软件项目，其实当你接手时之前的代码都是一个个的黑洞，存在着某天会定时爆发的风险，而当它真正爆发时，接手这个项目的所有人又或者没有接手过的人都会因此遭殃。

　　因此，作为一名Web系统开发者，不但要追求整洁代码，也要了解Web安全知识。目前系统讲解Web安全的书籍里，阿里巴巴高级技术专家吴翰清的这本《白帽子讲Web安全》是评分较高的一本（豆瓣评分7.4），虽然现在看来有点过时（很多的漏洞案例都早已被修复），但是基础的知识点都有覆盖，是建立安全思维的好书！此外，它对于安全开发流程与运营的介绍，同样具有深刻的行业指导意义。所以，我快速地学习了一遍，做了一些笔记与各位分享。

二、精华内容导图笔记

完整的笔记导图在线浏览地址：https://www.processon.com/view/5c11e98ae4b0ed122da3f749，下面为了阅读体验，分成3个部分来显示。

2.1 客户端脚本安全

2.2 服务端应用安全

2.3 安全运营体系建设

三、一些安全扫描工具

3.1 Sucuri SiteCheck

　　Sucuri SiteCheck是一个免费的在线扫描网站，可以提供基础的Web安全扫描功能，它会根据你输入的网址去爬内容然后匹配安全规则，给出安全漏洞建议，如下图所示：

　　扫描后的结果如下图所示：可以看到，我们得网站没有Critical的安全漏洞，也没有被各大安全体系（例如Google安全浏览体系）列入黑名单。

　　当然，还是有一些需要改进的地方，它给你列出来了：比如没有为资源文件设置HTTPS重定向，导致在HTTPS网站中使用了HTTP的资源。

　　又如下图，在HTTP Header中缺少安全性的配置，可能会遭受XSS攻击。

3.2 Acunetix

　　Acunetix是一款优秀的网络漏洞扫描软件，它可以检测网站的安全漏洞。它可以检查Web应用程序中的漏洞，如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。它拥有一个操作方便的图形用户界面，并且能够创建专业级的Web站点安全审核报告。But，Acunetix是一款商业软件，需要花钱购买License。当然，你也可以百度一下，毕竟大天朝，你懂得，不过还是支持正版！

　　安装完成后，你就可以进入https://localhost:3443/#/login/登录进去了。

　　下面演示一个基本的扫描过程：

　　Step1.添加扫描目标