Web安全攻防從入門到精通

我們都生活在移動網際網路時代，個人信息、企業信息、政府信息都暴露在網際網路之下。一旦有居心叵測的人攻破網路，會造成無法估量的損失。本書結合紅日安全團隊的多年經驗，深入講解Web安全的相關知識。

全書共有21個章節，第1章到第6章講解Web攻防入門知識，包括HTTP基本概念、工具實戰、信息收集、靶場搭建等內容；第7章到第20章講解Web滲透測試的14個典型漏洞案例，包括SQL注入、XSS漏洞、CSRF漏洞、SSRF漏洞、任意檔案上傳、業務漏洞等內容；第21章是項目實戰，主要模擬真實Web安全評估項目。

本書案例豐富，代碼詳實，實戰性強，適合廣大Web程式設計師、測試工程師、安全運營人員學習使用，也適合安全相關的培訓、教育機構作為教材使用。

第1章 HTTP基本概念

第2章 工具實戰

第3章 信息收集

第4章 靶場搭建

第5章 Web安全入門

第6章 小試牛刀

第7章 SQL注入實戰攻防

第8章 XSS漏洞實戰攻防

第9章 CSRF漏洞實戰攻防

第10章 SSRF漏洞實戰攻防

第11章 任意檔案上傳實戰攻防

第12章 業務邏輯漏洞實戰攻防

第13章 未授權訪問實戰攻防

第14章 XXE漏洞實戰攻防

第15章 檔案下載漏洞實戰攻防

第16章 反序列化漏洞實戰攻防

第17章 重放攻擊實戰攻防

第18章 驗證碼實戰攻防

第19章 會話固定漏洞實戰攻防

第20章 遠程代碼執行/命令執行實戰攻防

第21章 懶人OA項目滲透測試

為什麼要寫這本書？

網際網路時代，各種新奇的攻擊技術層出不窮，本書由紅日安全團隊傾力打造，由淺入深、全面、系統地介紹了當前流行的高危漏洞的攻擊手段和防禦方法，並結合開源靶場VulnStack快速搭建漏洞靶場，詳細講解具體案例，可以讓讀者快速地了解和掌握主流的漏洞利用技術與滲透測試技巧。

目前圖書市場上關於Web安全滲透實戰案例的圖書不少，但真正從靶場搭建、CMS漏洞挖掘、漏洞修復建議、項目實戰及報告撰寫等方面出發，按照真實案例套用講解，通過各種漏洞靶場和項目案例來指導讀者提高Web安全、滲透測試相關技術能力的圖書卻很少。本書便是以實戰為主旨，通過Web安全領域最常見的14個漏洞和1個完整的項目案例，讓讀者全面、深入、透徹地理解Web安全的各種熱門技術和各種主流Web安全評估項目及其整合使用方法，提高實際漏洞挖掘和項目實戰能力。

本書有何特色？

1. 內容涵蓋Web安全熱門靶場。

本書涵蓋VulnStack、Vulhub、Root Me、DVWA、uploads-labs、DSVW、XVWA和WeBug等熱門開源攻防靶場。

2. 對Web安全攻防技術進行原理上的分析。

本書從一開始便對Web開發基礎和靶場搭建做了基本介紹，結合紅日安全團隊的漏洞挖掘和評估項目實戰經驗對各種實戰技術進行分析，便於讀者理解書中講到的項目評估實戰案例。

3. 模組驅動，套用性強。

本書提供了14個Web安全方面的常見漏洞實戰案例，這些案例都是在Web安全實戰漏洞挖掘過程中經常遇到的問題，具有超強的實用性，而且這些案例相互獨立，Web安全人員可以隨時查閱和參考。

4. 項目案例典型，實戰性強，有較高的套用價值。

本書最後一章提供了項目實戰安全評估案例，這個案例來源於作者漏洞挖掘和滲透測試的實戰項目，具有很高的參考性和套用價值。本書中的案例分別使用不同的框架組合實現，便於讀者融會貫通地理解本書中所介紹的技術。讀者只需對這些案例稍加學習，便可用於實戰項目滲透測試。

5. 提供完善的技術支持和售後服務。

本書提供專門的技術支持。讀者在閱讀本書過程中有任何疑問都可以通過該信箱獲得幫助。

為了方便讀者閱讀，本書所有原始碼和靶場地址均存放在網盤上，請讀者用手機微信掃描封底二維碼，關注“博雅讀書社”微信公眾號，找到資源下載欄目，輸入本書77頁的資源下載碼，根據提示獲取資源，網盤資源內容如下：

本書所有靶場的原始碼；

本書每章內容使用的安全工具。

適合閱讀本書的讀者

需要全面學習Web安全滲透測試的人員；

廣大Web開發程式設計師；

滲透測試工程師；

安全運營工程師；

希望提高項目漏洞挖掘能力的人員；

專業培訓機構的學員；

安全運維工程師；

需要一本案頭必備Web查詢手冊的人員。

紅日安全

----------------------------

紅日安全團隊專注於APT攻防、漏洞挖掘、企業安全、代碼審計、AI安全、CTF競賽及安全人才培養。

團隊成員來自奇安信、綠盟、阿里等頭部安全公司，目前團隊也開發自己安全平台並已經上線，其中“啟元學堂”和《Vulnstack》攻防開源靶場”在安全圈深受好評，我們希望通過前沿技術去維護企業安全建設。目前運營公眾號：紅日安全冬粉10K+，Freebuf專欄冬粉9K。