序言

不知彼不知己,每战必败。

——孙武《孙子兵法》

今天的商业活动依靠Web生存是无法回避的事实。从银行到书店,从拍卖到游戏,大部分公司都在Web上进行交易。例如,美国接近50%的音乐零售业务发生在网上,2010年网络游戏中的虚拟交易市场将超过15亿美元。有人估计,美国成年人中超过45%的人专门使用互联网进行自己的银行业务。随着Web的智能手机的流行,现在大部分的网络商务活动对消费者来说在任何时间、任何地点都可以进行。不管如何估算,Web上的业务都是经济的重要组成部分,并且正在快速发展。但是这种增长也带来了令人不快的现实——这部分商务活动的安全并没有齐头并进。

在现实世界里,企业所有者数十年来都在面对和学习缓解威胁,他们必须应付强行闯入、盗窃、持械抢劫、伪钞、支票诈骗以及各种骗局。但是现实世界里,企业的业务边界是有限而容易定义的。在大部分情况下,威胁的种类也在合理的限度内。随着时间的推移,他们已经学会应用越来越成熟的方法、工具和保安措施来对付这些威胁。而在Web上,情况就大不相同了。

Web上的商务活动出现不足20年,在现实世界中积累的许多经验教训,在Web商务活动中才刚刚露出苗头。和现实世界中一样,只要有钱或者有价值的资产,总是会发现一些人为非作歹,企图利用这些资产。但是,电子商务和现实世界不同,企业面对令人眼花缭乱的技术和概念,大部分领导者都感觉这些技术和概念难以(甚至不可能)理解。除此之外,资产的边界常常没有得到很好的理解,潜在威胁可能横跨全球。虽然所有银行的高级主管对现实世界的安防都很在行,提高物理资产的访问管理,精细设计银行金库的安全性,钱柜里有染色包,大堂中加武装保安等,但是这些主管们常常困惑于跨站脚本、SQL注入等技术对企业的影响。在许多情况下,即使这些公司雇用的建站“专家”、开发人员几乎也不知道这些威胁对网站的危害程度、他们所编写代码的脆弱性,或者那些打算获得系统访问权的攻击者的距离。

在电子商务和网络犯罪不对等的战场上,一些专家全心全意地将有关安全威胁的知识传授给企业,加强开发人员建立抗攻击代码的意识,并且不断地研究攻击者所采用的频繁变化的策略和工具。本书的作者代表着这个群体中最有经验和知识的专家,这本书是他们分享知识和经验的最新努力。

不管你是期望理解企业威胁的公司领导,还是为网站编写代码的工程师,或是期望识别和缓解对应用造成威胁的安全工程师,本书都是你的武器库中有价值的武器。正如孙子告诉我们的,这本书能让你更清楚地认识自己和你的敌人,最后你将有能力减少企业的风险。

——Chris Peterson,2010年8月

Zynga Game Network应用安全高级主管 前Microsoft安全保障主管