许多人确实推荐这本书：Web 应用程序黑客手册：发现和利用安全漏洞，我也觉得这本书非常有用。但是你不应该只依赖一本书。这本书是在2007年出版的，现在出现了许多新技术。因此，除了书籍之外，您还应该遵循标准、RFC 和其他文档。我知道其他非常好的和新鲜的书。我只有德文的硬拷贝，不知道是否有英文版 - Sichere Webanwendugen。

既然它已经出版了，我的答案是Michal Zalewski的 The Tangled Web。

对于有关如何构建网络安全的书籍，MS Press 的《Writing Secure Code v2》仍然是一部开创性的经典著作，尽管它是在几年前按照 Internet 标准编写的，但它仍然非常相关，并且相对最新（如果由于新的攻击技术而不再完整）。它不仅适用于 MS 平台（尽管缺少许多较新的框架）......

罗斯安德森的安全工程非常出色（第一版目前可在线获得。第二版的一些示例章节在撰写本文时在线）。