第1版出版4年以来,许多事情发生了改变,而许多事情仍保持原状。当然,新技术继续高速发展,这引发了各种新型漏洞和攻击。同时,黑客们还开发出了新的攻击技术,设计了利用旧有漏洞的新方法。但是,这些技术或人为因素都不可能引发革命。今天应用程序采用的技术早在许多年前就已经确立,现今的先进攻击技术所蕴涵的基本概念也早在高效应用这些技术的许多研究人员出生之前就已经成形。Web应用程序安全是一个动态且充满活力的研究领域,但多年来,人类积累的智慧也在缓慢进化,因此,当前的技术状况与10年或更久以前的情况截然不同。
第2版并不是对第1版的彻底改写,第1版的大部分内容,现在仍然适用。第2版约30%的内容为新增内容或改动很大,剩余70%的内容仅有小幅改动或未作任何修改。如果读者购买了本书,但对这些改动感到失望,请不要放弃。如果你已经掌握了第Ⅰ版中介绍的所有技巧,说明你已经学会所需的绝大部分技能和知识。这样的话,你就可以集中精力学习本书的新增内容,迅速了解Web应用程序安全领域近年来的发展变化情况。
第2版的一个显著特点是,在整本书中提供了所介绍的几乎所有漏洞的真实示例。读者可以使用“尝试访问”链接以交互方式在线运行书中讨论的示例,以确认可以发现并利用其中包含的漏洞。书中提供了几百个“示例实验室”,读者可以根据自己阅读本书的进度逐个访问这些“实验室”。访问这些在线“实验室”需要支付一定的订阅费用,这些费用主要用于管理和维护相关基础设施。
如果读者希望集中精力学习第2版中的新增内容,以下是对新增或改写内容的汇总。