前言

为什么要写这本书？

互联网时代，各种新奇的攻击技术层出不穷，本书由红日安全团队倾力打造，由浅入深、全面、系统地介绍了当前流行的高危漏洞的攻击手段和防御方法，并结合开源靶场VulnStack快速搭建漏洞靶场，详细讲解具体案例，可以让读者快速地了解和掌握主流的漏洞利用技术与渗透测试技巧。

目前图书市场上关于Web安全渗透实战案例的图书不少，但真正从靶场搭建、CMS漏洞挖掘、漏洞修复建议、项目实战及报告撰写等方面出发，按照真实案例应用讲解，通过各种漏洞靶场和项目案例来指导读者提高Web安全、渗透测试相关技术能力的图书却很少。本书便是以实战为主旨，通过Web安全领域最常见的14个漏洞和1个完整的项目案例，让读者全面、深入、透彻地理解Web安全的各种热门技术和各种主流Web安全评估项目及其整合使用方法，提高实际漏洞挖掘和项目实战能力。

本书有何特色？

1.内容涵盖Web安全热门靶场。

本书涵盖VulnStack、Vulhub、Root Me、DVWA、uploads-labs、DSVW、XVWA和WeBug等热门开源攻防靶场。

2.对Web安全攻防技术进行原理上的分析。

本书从一开始便对Web开发基础和靶场搭建做了基本介绍，结合红日安全团队的漏洞挖掘和评估项目实战经验对各种实战技术进行分析，便于读者理解书中讲到的项目评估实战案例。

3.模块驱动，应用性强。

本书提供了14个Web安全方面的常见漏洞实战案例，这些案例都是在Web安全实战漏洞挖掘过程中经常遇到的问题，具有超强的实用性，而且这些案例相互独立，Web安全人员可以随时查阅和参考。

4.项目案例典型，实战性强，有较高的应用价值。

本书最后一章提供了项目实战安全评估案例，这个案例来源于作者漏洞挖掘和渗透测试的实战项目，具有很高的参考性和应用价值。本书中的案例分别使用不同的框架组合实现，便于读者融会贯通地理解本书中所介绍的技术。读者只需对这些案例稍加学习，便可用于实战项目渗透测试。

5.提供完善的技术支持和售后服务。

本书提供专门的技术支持（邮箱：513734365@qq.com）。读者在阅读本书过程中有任何疑问都可以通过该邮箱获得帮助。

配书下载内容介绍

为了方便读者阅读，本书所有源代码和靶场地址均存放在网盘上，请读者用手机微信扫描封底二维码，关注“博雅读书社”微信公众号，找到资源下载栏目，输入本书77页的资源下载码，根据提示获取资源，网盘资源内容如下：

●本书所有靶场的源代码；

●本书每章内容使用的安全工具。

适合阅读本书的读者

●需要全面学习Web安全渗透测试的人员；

●广大Web开发程序员；

●渗透测试工程师；

●安全运营工程师；

●希望提高项目漏洞挖掘能力的人员；

●专业培训机构的学员；

●安全运维工程师；

●需要一本案头必备Web查询手册的人员。

阅读本书的建议

●没有Web安全基础的读者，建议从第1章顺次阅读并演练每一个实例。

●有一定Web安全代码基础的读者，可以根据实际情况有重点地选择阅读各个模块和项目案例。

●对于每一个实战案例，建议读者先自己思考一下实现的思路，这样阅读起来学习效果会更好。

致谢

感谢北京大学出版社工作人员为出版本书所做的大量工作，感谢吴科对本书配套资源相关网站的维护。

红日安全一直是研究前沿安全攻防技术的团队，衷心感谢团队的所有成员：sucre、哦豁、郭子波、MisakiKata、ama666、小星星、逸心、haya、RiCKy、柏汛～simeon、Dtuncle、Virink、cmustard、忍冬、Orion、ruanruan、D.H、Aiopr、花十一、Xjseck、tt、一盅关、麟、先锋队、孔德轩、刘学峰等。本书每一章都倾注了团队每一位成员的心血，如果没有大家的付出，就不会有本书的成稿，再次感谢你们对本书给予的建议和支持。

感谢在写书期间给了团队非常大鼓励和支持的朋友们，有你们让团队的人生变得更有意义。

最后，感谢曾在生命中出现过的人，那些美好都是生命中不可或缺的，谢谢你们！

编者