序言1

很高兴受红日安全团队创始人小峰邀请为本书作序。

机缘巧合下曾与小峰畅聊，他对Web安全有着独特的见解与思考。首次和他聊天，不敢相信坐在我对面的是一个“90后”小伙。他是红日安全团队的创始人，亲身经历了团队的创立及后来的不断成长过程。该团队秉承“坚持创新，持续分享”的宗旨，在安全行业不断摸索，反复推敲。这些经历，让作者对网络安全有了更多的思考。作者一直致力于网络安全的研究与分享，本书结合作者多年的工作经验和红日安全团队的实战经验编写而成，深入浅出地剖析了Web安全的各种攻击手段及防御手法，非常适合网络安全从业者研读。

随着时代的发展，经济、社会、生产、生活越来越依赖网络。而随着万物互联的物联网技术的兴起，线上线下已经打通，虚拟世界和现实世界的边界正在变得模糊。这使得来自网络空间的攻击能够穿透虚拟世界的边界，直接影响现实世界的安全。另一方面，随着人工智能技术的进步，一切皆可编程的智能时代正逐步来临，这也必将带来更多的安全问题。网络安全隐患的危害已经不仅仅涉及线上网络空间，国家安全、国防安全、关键基础设施安全、社会安全、家庭安全，乃至人身安全都将受到威胁。网络安全已经从信息安全时代进入了大安全时代，在大安全时代中，网络攻击将从更多的维度不断带来新的威胁与挑战。

目前，整个安全行业对网络安全的认知并不是很深刻，普及网络安全知识是一个异常困难的工作。随着时代的变化，虽然人的安全意识提升，但网络攻防的能力和组织性也在不断演进。今天，我们整个生活都构建在数字世界里，这背后是复杂的IT系统。从普通人的视角来看，世界一切运转正常，但从顶尖网络攻防的角度来看，会发现这是一个千疮百孔的世界，布满了可利用的漏洞。

网络安全始终是企业重点关注的问题之一。随着科技的不断进步，网络安全在各大企业中的重要性也日益提升。保护信息与网络安全的途径有多条，Web安全作为互联网安全的核心问题，如果Web安全失陷，个人隐私、企业安全都将受到极大的威胁。所以，Web安全的防御是确保网络安全最有效也是最常见的途径之一。

我曾在《ATT＆CK框架实践指南》一书中提到，ATT＆CK框架解决了网络安全领域入侵检测能力的度量难题，而Web安全的入侵检测则是重中之重。《Web安全攻防从入门到精通》这本书非常系统地讲解了Web安全问题，通过理论与实践的结合，可以让读者彻底理解Web的攻击与防御。难能可贵的是，书中的案例都是从作者真实安全从业经历中提炼出来的，每一个案例都令读者仿佛在做一次真实的网络安全攻防对抗。

技术实战积累作为“硬核”基础贯穿本书，分享精神则是本书的灵魂，真正的大师除了不断修炼自己的内功之外，还需要将其中的智慧发扬传承，我在书中看到了这样的精神。

张福
青藤云安全创始人、CEO