一、為何要了解Web安全

　　最近加入新公司后，公司的官網突然被Google標記為了不安全的詐騙網站，一時間我們信息技術部門成為了眾矢之的，雖然老官網並不是我們開發的（因為開發老官網的前輩們全都跑路了）。我們花了很多時間做Web安全掃描以及修復，在檢查和修復過程中，發現老系統的代碼的不可維護性（再次說明整潔代碼之道Clean Code的重要性）及安全性（同時也說明了Web安全的重要性）。

　　修復之后，向Google提出了申訴，漫長的等待（1~2天對於公司的官網來說就是Money啊！）后Google放開了。當我們慶幸終於把該死的老官網的安全問題解決了的時候，過了幾天后又被Google加入黑名單了，WTF！於是，再次安全掃描，排除一切可能的原因，做好備用方案，再次進入安全修復迭代...

　　對於我們來說，這次的經驗讓我意識到，不遵守整潔代碼之道和安全系統之道的系統就像一顆定時炸彈，你不知道它什么時候就會爆炸又或者是虛晃一槍，又讓我想起整潔代碼之道一書的封面：

　　上面這張圖是M104：草帽星系，其核心是一個質量超大的黑洞，有100萬個太陽那么重，環繞着M104的光環就像一頂墨西哥草帽，仿佛經歷了大爆炸之后碎片四濺的產物。聯系到我們所經歷過的沒由整潔代碼風格各異不可維護的軟件項目，其實當你接手時之前的代碼都是一個個的黑洞，存在着某天會定時爆發的風險，而當它真正爆發時，接手這個項目的所有人又或者沒有接手過的人都會因此遭殃。

　　因此，作為一名Web系統開發者，不但要追求整潔代碼，也要了解Web安全知識。目前系統講解Web安全的書籍里，阿里巴巴高級技術專家吳翰清的這本《白帽子講Web安全》是評分較高的一本（豆瓣評分7.4），雖然現在看來有點過時（很多的漏洞案例都早已被修復），但是基礎的知識點都有覆蓋，是建立安全思維的好書！此外，它對於安全開發流程與運營的介紹，同樣具有深刻的行業指導意義。所以，我快速地學習了一遍，做了一些筆記與各位分享。

二、精華內容導圖筆記

完整的筆記導圖在線瀏覽地址：https://www.processon.com/view/5c11e98ae4b0ed122da3f749，下面為了閱讀體驗，分成3個部分來顯示。

2.1 客戶端腳本安全

2.2 服務端應用安全

2.3 安全運營體系建設

三、一些安全掃描工具

3.1 Sucuri SiteCheck

　　Sucuri SiteCheck是一個免費的在線掃描網站，可以提供基礎的Web安全掃描功能，它會根據你輸入的網址去爬內容然后匹配安全規則，給出安全漏洞建議，如下圖所示：

　　掃描后的結果如下圖所示：可以看到，我們得網站沒有Critical的安全漏洞，也沒有被各大安全體系（例如Google安全瀏覽體系）列入黑名單。

　　當然，還是有一些需要改進的地方，它給你列出來了：比如沒有為資源文件設置HTTPS重定向，導致在HTTPS網站中使用了HTTP的資源。

　　又如下圖，在HTTP Header中缺少安全性的配置，可能會遭受XSS攻擊。

3.2 Acunetix

　　Acunetix是一款優秀的網絡漏洞掃描軟件，它可以檢測網站的安全漏洞。它可以檢查Web應用程序中的漏洞，如SQL注入、跨站腳本攻擊、身份驗證頁上的弱口令長度等。它擁有一個操作方便的圖形用戶界面，並且能夠創建專業級的Web站點安全審核報告。But，Acunetix是一款商業軟件，需要花錢購買License。當然，你也可以百度一下，畢竟大天朝，你懂得，不過還是支持正版！

　　安裝完成后，你就可以進入https://localhost:3443/#/login/登錄進去了。

　　下面演示一個基本的掃描過程：

　　Step1.添加掃描目標