第2版序

时光荏苒，距本书第1版的出版转眼过去了十一年。在这十一年里，世界发生了许多变化：云计算不再是一个故事，大数据成了重要生产要素；深度学习的崛起则开启了第三次人工智能浪潮，机器人打败了人类棋手，在大模型的加持下，人工智能正在挑战越来越多的人类职业。我们经历了新冠疫情，正在经历俄乌冲突，这一切都让安全问题变得更加敏感。互联网的渗透无处不在，数据隐私、科技伦理变成人们愈发关心的话题。过去的十一年，我们看到了自动驾驶汽车失控酿成的交通事故、无人机被应用于战争、聊天机器人诱使人类自杀、元宇宙中发生性侵。科技的突破似乎总伴生着新的威胁，让人们在憧憬美好未来的同时，无法忽视那柄悬于头顶的达摩克利斯之剑。在这次技术革命的关口上，安全再次变成一个必须直面的问题：科技带来的是生存还是毁灭？

因此，在这个关口上将本书更新为第2版又增加了一份责任。正如本书开篇所言，“互联网本来是安全的，自从有了研究安全的人，就变得不安全了”。这似乎是一个悖论，但我们不妨认为，白帽子的使命，就是站在建设者的对立面，思考一个更加完善的系统应当是怎样的。这些年安全圈对白帽子理念不懈倡导，让产业界终于接受了“红蓝对抗”这一源自黑客文化的惯常做法，这是一场胜利，它给予所有白帽子应有的宽容和尊重，对应的回报是互联网变得越来越安全了。

十年前，多数公司会将报告漏洞的白帽子视为敲诈勒索者，白帽子在漏洞的缄默期之后选择公开漏洞的行为被视为对资本的挑衅。甚至还有公司将员工里的白帽子写脚本“刷”内部系统的中秋节月饼视为道德问题，而选择性忽视了白帽子报告漏洞的事实，令人哭笑不得。十年后的今天，在安全政策上成熟的公司会更多地建立友好的社区关系，将白帽子的这种行为视为类似于媒体的舆论监督。白帽子和记者的职责是类似的，首要的都是对公众负责，这是一种侠义精神。黑客精神中所谓的“挑战权威”，就是指通过一己之力让大企业在普通用户面前保持谦卑的态度。长期以来，这种独立的监督在人类社会中发挥了重要作用，从某种程度上来说，它是实现社会公平的一种保证。

如今在面临科技失控的挑战下，白帽子的责任在于，通过对安全技术、安全政策的研究，跟上科技发展的步伐，将科技的种种成果限定在对人类有益的范围内，控制科技所带来的负面影响。因此，科技发展的速度，委实受限于对应的安全技术发展的速度。第一次工业革命发生时，人们担心蒸汽机会爆炸；第二次工业革命发生时，人们担心高压电会带来生命危险；面对当前正在发生的人工智能革命，人们则担心GPT等大模型会冲击就业，带来机器意识失控的危险，因此多位计算机科学家联名签署了倡议书，建议暂缓训练更强大的人工智能大模型。但人类历史上所有的科技进步，最终都转化成造福人类的果实，其中必不可少的前提，就是科技的安全水平达到了一种可接受的程度。

帮助互联网相关的各类计算机系统达到一个可接受的安全水平，就是本书的写作目的。本书第1版在过去的十一年中得到了广大读者朋友的支持和好评，我也因编辑张春雨先生推荐，被评选为电子工业出版社四十年来50位有影响力的作者之一，倍感荣幸。但遗憾的是，在过去的日子里，我一直未能有时间和精力对本书内容进行修订，使其与时俱进。直到2022年，我才终于下定决心将本书更新为第2版。

在这次修订中，我邀请曾经的老同事，和我一起工作了十年的一位关键技术专家——叶敏，来担任第二作者。叶敏是团队中技术最好的几个人之一，有着高尚的品格和白帽子的职业操守。他见证了云计算安全从无到有的全过程，所涉猎安全知识的深度和广度都令我敬佩，交给他的安全技术问题还从来没有解决不了的。他深得云安全的精髓，是最合适的第二作者人选。叶敏修订了大量章节，更正了一些错漏和过时之处，同时新增了移动互联网、云计算、机器学习、DevSecOps等许多新领域的安全知识，使得第2版能够跟上时代的发展。

本书专注于安全技术的细节和原理，其内容来自我们多年的实践，对具体的工作有实际的指导意义，同时它也可以作为一本安全手册，供所有开发者查阅。从第2版开始，我们希望能够将这本书长期更新维护下去，以帮助更多需要它的人；同时，也希望未来有机会将这本书升级成“白帽子安全讲义”系列丛书，《白帽子讲Web安全》将会是这个系列的一个起点。

一起建设更安全的互联网！

吴翰清

2023年4月 于杭州

第1版序

在2010年年中的时候，博文视点的张春雨先生找到我，希望我可以写一本关于云计算安全的书。当时云计算的概念正如日中天，但关于云计算安全应该怎么做，市面上却没有足够多的资料。虽然由于工作的关系，我接触这方面工作比较多，但考虑到云计算的未来尚不清晰，以及其他的种种原因，婉拒了张春雨先生的提议，转而决定写一本关于Web安全的书。

我的安全之路

我对安全的兴趣起源于中学时期，当时我买到了一本没有书号的《黑客手册》，其中coolfire[ coolfire，真名“林正隆”，台湾著名黑客，中国黑客文化的先驱者。]的黑客教程令我印象深刻。此后，在有限的能接触互联网的机会里，我总会想方设法地寻找一些黑客教程，并以实践其中描述的方法为乐。

2000年，我进入西安交通大学学习。学校的计算机实验室平时会对学生开放，当时上网的资费仍然较贵，父母给我的生活费，除了必要的生活费用之外，我几乎全部用来上网了。也正是在学校的计算机实验室里，我在安全领域迅速成长起来。

大学期间，在父母的资助下，我拥有了自己的第一台个人电脑，这加快了我成长的步伐。与此同时，我和互联网上一些志同道合的朋友，一起建立了一个安全技术组织“幻影”（ph4nt0m.org，该网址已失效），名字来源于我当时最喜爱的一部动漫《幻影旅团》。历经十余载，尽管“幻影”最终由于种种原因未能得以延续，但它却培养出了如今安全行业中的许多顶尖人才。这也是我在这短短二十余载人生中的最大成就与自豪。

得益于互联网的开放性，以及良好的技术交流氛围，我见证了中国互联网安全发展的整个过程。从2000年开始，我投入大量精力研究渗透测试、缓冲区溢出、网络攻击等技术；而在2005年之后，出于工作需要，我把主要精力放在了对Web安全的研究上。

加入阿里巴巴

发生这种专业方向的转变，是因为2005年我在一位挚友（X-Laser）的推荐下，加入了阿里巴巴。加入这家公司的过程颇具传奇色彩。在面试的过程中，主管要求我展示自己的能力，在得到授权之后，我远程关闭了阿里巴巴办公网的一台关键网络设备的路由策略，导致阿里巴巴内部的办公网络中断。事后，主管立即对公司内部的网络安全进行了整改。

大学时期的兴趣爱好居然可以变成正经的职业（当时很多大学都尚未开设网络安全的课程与专业），这使得我的父母很震惊，同时也使我更坚定了以此作为事业的想法。

在阿里巴巴的安全工程师岗位上，我很快就崭露头角。在日常的内部安全测试中，我曾经在办公网中通过网络嗅探捕获到研发总监的邮箱密码；也曾经在压力测试中使公司的网络瞬间瘫痪；还有好几次，我成功获取了域控服务器的权限，从而可以以管理员的身份访问任何一位员工的工作电脑。这些工作让阿里巴巴的网络安全变得更加坚固。

但这些工作都远远比不上那厚厚的一摞网站安全评估报告让我更有成就感，因为我知道，网站上的每一个漏洞都影响着成千上万的用户，能够为上百万、千万的互联网用户服务，让我倍感自豪。当时，Web正在逐渐成为互联网的核心，Web安全技术也正在兴起，于是我义无反顾地投入到对Web安全的研究中。

2007年，我23岁，成为阿里巴巴集团最年轻的技术专家。在阿里巴巴，我有幸见证了安全部门从无到有的建设过程。同时由于淘宝、支付宝草创，尚未建立自己的安全团队，因此我亦有幸参与了淘宝、支付宝的安全建设，为它们奠定了安全开发框架、安全开发流程的基础。

对互联网安全的思考

当时，我隐隐地感觉到互联网安全与传统的网络安全、信息安全技术的区别。就如同开发者会遇到的挑战一样，有很多问题如果不放到海量用户的环境下，是难以暴露出来的。量变引起质变，所以管理10台服务器和管理1万台服务器的方法肯定会有所区别；同样，评估10名工程师的代码安全和评估1000名工程师的代码安全，方法肯定也有所不同。

互联网安全还有一些鲜明的特色，比如注重用户体验、注重性能、注重产品发布时间，因此传统的安全方案在这样的环境下可能完全行不通。这对安全工作提出了更高的要求和更大的挑战。

这些问题使我感觉到，互联网安全可能会成为一个新的领域，或者说应该把安全技术变得更加产业化。可是我在书店中却发现，安全类的图书要么是极为学术化的教科书（一般人看不懂），要么就是极为娱乐化的说明书（比如一些“黑客工具说明书”之类的书）。而那些极少数能够深入剖析安全技术原理的书，以我的经验看来，将其内容应用于实践时也会存在各种各样的问题。

这些问题使我萌发了写一本自己的书，分享多年来工作心得的想法。它将是一本阐述安全技术在企业级应用中实践的书，是一本大型互联网公司的工程师能够真正用得上的安全参考书。因此，张春雨先生一提到邀请我写书的想法时，我没有做过多的思考就答应了。

Web是互联网的核心，是未来云计算和移动互联网的最佳载体。因此，Web安全也是互联网安全业务中最重要的组成部分，我近年来的研究重心也在于此，故将选题范围定为Web安全。但其实本书的很多思维方式并不局限于Web安全，而是可以放到整个互联网安全的方方面面之中。

掌握正确的思维方式，学会以这样的方式看待安全问题，在解决安全问题时，就将无往而不利。我在2007年的时候，意识到掌握正确思维方式的重要性，因此告知好友：安全工程师的核心竞争力不在于他能独占多少个0day漏洞，掌握了多少种安全技术，而是在于他对安全理解的深度，以及由此引申的看待安全问题的角度和高度。我是如此想的，也是如此做的。

因此在本书中，我认为最有价值的不是那些产业化的解决方案，而是在解决安全问题时背后的思考过程。我们不是要做一个能够解决问题的方案，而是要做一个能够“漂亮地”解决问题的方案。这是每一名优秀的安全工程师所应有的追求。

安全启蒙运动

然而，当今的互联网行业对安全的重视程度普遍不高。有统计数据显示，互联网公司对安全的投入不足收入的百分之一。

2011年岁末，中国互联网突然卷入了一场有史以来最大的安全危机。2011年12月21日，国内最大的开发者社区CSDN被黑客在互联网上公布了其600万注册用户的数据。更糟糕的是，CSDN在数据库中以明文形式保存用户的密码。黑客随后陆续公布了网易、人人、天涯、猫扑、多玩等多家大型网站的数据库数据，一时间风声鹤唳，草木皆兵。

这些数据其实在黑客的地下世界中已经辗转流传了多年，牵扯到一条巨大的黑色产业链。这次的偶然事件使之浮出水面，公之于众，也让用户清醒地认识到中国互联网安全现状有多么糟糕。

以往发生类似的事件时，我都会在博客上说点什么，但这次我保持了沉默。因为一来知道此种状况已经存在多年，涉事网站只是在为以前的不作为而买单；二来要解决“拖库”的问题，其实是要解决整个互联网安全问题，远非保证数据库的安全这么简单。这不是用一段文字、一篇文章就能够讲清楚的，但我想在本书中可以找到最好的答案。

希望经历这场危机之后，整个中国互联网在安全问题的认识上，能够有一个新的高度。那么，这场危机也就“物有所值”，或许它还能成为一个契机，发起中国互联网的一场安全启蒙运动。

这是我的第一本书，也是我坚持自己一个人写完的书，因此可以在书中尽情地阐述自己的安全观，而且对书中的任何错漏之处以及不成熟的观点都没有可以推卸责任的借口。

由于工作繁忙，我只能利用业余时间写书，交稿时间被多次推迟，深感写书的不易。最终能成书则有赖于各位亲友的支持，以及编辑的鼓励，在此深表感谢。书中很多地方未能写得更为深入细致，实乃精力有限所致，尚请多多包涵。

关于白帽子

在安全圈子里，素有“白帽子”“黑帽子”一说。黑帽子是指那些造成破坏的黑客，而白帽子则是指研究安全，但不造成破坏的黑客。白帽子均以建设更安全的互联网为己任。

我于2008年开始在国内互联网行业中倡导白帽子的理念，并联合一些主要互联网公司的安全工程师建立了白帽子社区，旨在交流工作中遇到的各种问题及经验心得。

本书名为《白帽子讲Web安全》，即指站在白帽子的视角，讲述Web安全的方方面面。虽然也剖析攻击原理，但更重要的是讲如何防范。同时，也希望“白帽子”这一理念，能够更加广为人知，为中国互联网行业所接受。

吴翰清

2012年1月于杭州