前言
PREFACE

随着大数据时代的来临，海量数据在互联网中传播，其中不乏来自用户的大量敏感信息，而在Web交互性增强的同时，也引入了更多的网络安全威胁，Web应用的安全性值得广泛关注。同时，随着网络技术日趋成熟，黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。利用Web应用潜在的隐患与风险，攻击者不但可以劫持用户会话，甚至可以盗取用户账户信息、窃取财产、破坏服务数据或散布恶意信息等。这些都会阻碍整个互联网的健康发展。

然而种种证据表明，Web应用安全漏洞广泛存在，而且潜在的影响十分恶劣，无论是对因特网业务收入日益增长的企业，还是向Web应用托付敏感信息的用户，Web应用的安全性都是值得关注的话题。为了减少Web应用安全漏洞，提高Web系统的安全性，最有效的途径是提高Web应用开发、维护等从业人员的素质，并在安全管控方面有针对性地对其进行培训和提升，增强其安全意识。尽管如此，即使再优秀的设计与实现都难免会存在一些安全风险，无论是设计缺陷、编码不严谨，还是管理不严格，都可能给攻击者留下可乘之机。早期由于技术不成熟，Web应用的规模较小，应用也不够广泛，传统的人工安全漏洞检测还可以处理相对简单的情况，而其检测质量仍然受到检测人员的素质、水平与经验的约束。但是，随着Web应用系统规模变大，软件开发周期变短，人工检测的工作量越来越大，而且存在许多重复性的工作，这使得人工检测变得不仅费时费力、效率不高，而且效果也很差。因此，必须借助自动化技术进行漏洞扫描。Web应用漏洞扫描产品就是来解决这些问题的，它可以自动发现Web应用漏洞，并且指导开发人员对漏洞进行修复，从而可以在很大程度上提升Web应用的安全性，保障Web应用的质量。同时，也降低了人工成本，使得测试人员可以把更多的精力放在对业务逻辑的确认上，从而提高测试效率。

Web应用漏洞扫描的各项技术是如何实现的？带着这些问题，本书从Web系统及安全扫描技术、产品标准、典型应用等方面进行介绍和分析，期望能够带给读者一定的借鉴。

本书的编写人员均来自公安部计算机信息系统安全产品质量监督检验中心，同时，本书编写人员也参与了国家标准《信息安全技术Web应用安全检测系统安全技术要求和测试评价方法》（GB/T 37931—2019）、公共安全行业标准《信息安全技术Web应用安全扫描产品安全技术要求》（GA/T 1107—2013）的编制工作，因此，本书在标准介绍和描述方面具有一定的权威性。

本书第1章由俞优撰写，第2章由俞优、杨元原撰写，第3～5章由沈亮、邹春明撰写。顾健作为丛书主编，负责把握全书技术方面，并对各章节的具体编写提供了指导性意见。全书由俞优统稿。此外，王志佳、张笑笑等同志也参与了本书资料的收集和部分编写工作。由于编写人员水平有限且时间紧迫，本书不足之处在所难免，恳请各位专家和读者不吝批评指正。

本书的编写得到了北京天融信网络安全技术有限公司、网神信息技术（北京）股份有限公司、杭州安恒信息技术有限公司和北京神州绿盟科技有限公司的大力协助，在此表示衷心的感谢！

编者