出书啦！！！和小伙伴一起创作了一本书——《Web漏洞解析与攻防实战》。目前已经出版，各大电商平台均有销售。购买链接：  https://item.jd.com/13928820.html

为什么写这本书？

作为一名Web安全方向的践行者，笔者从2009年开始接触网络安全，从事网络安全相关工作已经十年了。随着近几年Web安全的发展与演进，感慨颇多。深感自20世纪90年代末开始至今，Web安全发展二十多年间，漏洞层出不穷，但其中又有一些共性的规律。2019年，经长亭科技杨坤博士提议编撰本书，经过多位同仁共同努力，总算是不辜负大家的期望。在编写本书时，笔者经历了两种不同的工作状态，可以说是“进一步万丈深渊，退一步云淡风轻”。每当对本书创作要求提高时，就会面临着巨大的完成压力。而假如对知识点不求甚解，只是为了应付篇幅草草了事，则很快就可以完结。最终笔者还是艰难地选择了前者，因此，书中基本上没有超过一页纸的代码，力求每字每句都是有知识点的、有意义的。

本书的内容结构是怎样的？

笔者根据自己的观点将Web安全漏洞进行了“传统后端漏洞”“前端漏洞”“新后端漏洞”“逻辑漏洞”四个分类，在每个分类中介绍不同类型但又同属于一个分类中的漏洞。这样的四种分类既是依据漏洞出现的时间顺序，又是考虑到漏洞原理对于读者理解难易程度的由浅入深。因为漏洞出现与漏洞爆发存在这样一种规律：越是简单的漏洞，出现的时间越早，越容易引起大家的广泛关注。等这一类漏洞被大众普遍认识，并且通用地加以防护后，安全研究人员会研究和探索新的突破口，或是在原有的技术上进行升级。因此，漏洞出现的时间与其被理解接受的难易程度是具有一定相关性的，本书以此为主要脉络。最后的“逻辑漏洞”分类，是相对较为独立的，也是大众认识和理解比较容易的一类漏洞，无法按照时间纳入。笔者将自己在工作中经常遇到的网络世界中的逻辑漏洞和生活中的逻辑漏洞进行了类比，依据自身经验进行了归类总结。

本书适合什么人阅读？

笔者认为本书可作为Web安全入门的一本书，亦可作为网络安全行业入门的一本书。为什么这样说？网络安全是信息技术中非常重要的一个领域。Web安全又是网络安全非常重要的一个组成部分，可以说Web安全中的冲突和对抗在整个网络安全的画卷上是浓墨重彩的，从Web安全入手可窥网络安全世界之一二。本书介绍的侧重点是安全原理。安全原理类似于内功心法，如果读者朋友将漏洞原理掌握清楚再去了解安全开发、安全产品、安全运维、安全运营、渗透测试、代码审计就能够融会贯通，事半功倍。

为什么以Web漏洞为切入点？

Web安全发展的二十年，实际上也是Web漏洞爆发的二十年，漏洞代表着安全研究的生产力，是安全价值的客观体现。虽然广义的Web安全包含了漏洞研究、漏洞利用技术、安全防护、安全产品、安全开发等多个方面，但实际上唯有漏洞能够最准确最客观地将安全内涵体现出来。

从漏洞入手学习Web安全是一个捷径。大多数刚接触Web安全行业的初学者往往存在一个认识上的误区，认为只要学会一些安全测试工具的使用方法就等于学会了渗透测试，就等于学好了Web安全，其实不然。Web安全看似历史较短，但实则纷繁复杂，对于Web安全的学习不能一蹴而就，应当先了解原理再围绕原理去选择合适的工具，当工具无法满足学习者对原理认识的时候，也可以选择去开发新的工具。要记住，工具是次要的，主要的是对漏洞原理深层次的认识和理解，不能本末倒置。当读者朋友将Web漏洞的基本原理融会贯通时，再去学习和掌握基于漏洞原理开发出的工具就会势如破竹。

本书名称中含有“攻防实战”，那么实战内容是怎样的呢？

实战，重在“实”，本书选取的漏洞基本上都是在现实生活中真实存在的漏洞。感谢VULHUB社区（https://vulhub.org/）提供了一套轻松搭建靶场环境的方案，让大多数实战内容可以仅仅使用Docker实现一键部署，简化了搭建环境的时间和人力成本。笔者力求为每一类漏洞配备一个实战案例，配备实战指导，帮助解决读者在练习中遇到的问题。建议先启动Docker环境，动手练习，遇到问题可以在互联网上查询与该漏洞相关的资料，如果经过反复思考后仍然无法完成实战，再来查看实战指导。

主要作者简介：

王放，网名do9gy.从事Web安全工作十年，致力于Web攻防与Web漏洞研究。曾任腾讯科技安全平台部高级安全工程师、长亭科技华南区安全服务负责人、Web安全课程培训高级讲师。目前任绿盟科技对抗自动化攻防顾问。曾于2016年WooYun沙龙深圳站分享议题——《漏洞与锁》。荣获2021年腾讯WAF挑战赛冠军和2022年腾讯主机安全挑战赛（“猎刃计划”）冠军。

龚潇，网名phith0n.长期躬耕于信息安全领域的技术博主，发布安全相关文章数百篇，阅读量超百万。国内著名安全社区【代码审计知识星球】创始人，拥有付费用户超7000人。也是Vulhub社区的发起人，为本书提供了全部的配套实战环境和实战指导。

王子航，网名voidfyoo.长亭科技知名Web安全研究员，国内Java安全研究领军人物，曾发表多篇Java安全研究文章，他发现的Nexus Repository Manager3远程代码执行漏洞（CVE-2019-7238），帮助多家企业免于遭受木马及勒索病毒攻击，挽回巨额经济损失。由他主笔的“反序列化漏洞”、“表达式注入漏洞”、“JNDI注入漏洞”等章节为本书“新后端漏洞”章节塑造了灵魂。

陈思涛，网名Camaro.国内知名前端安全研究员，曾荣获腾讯TSRC“神洞猎手”称号，常年高居腾讯安全漏洞排行榜前3名。他对前端漏洞的不懈研究促成了本书“XSS漏洞”章节的内容。

刘聪，网名白菜.从事信息安全工作5年，曾任长亭科技安全服务部技术组长、安全项目经理，现任某跨境电商企业高级信息安全工程师。在安全行业的安全建设规划、隐私安全合规、安全运营管理、安全产品技术等方向有丰富经验。

朱锟，网名zzkk.从事信息安全工作8年，致力于安全产品能力提升，为企业设计架构安全产品布局等工作，常年致力于大型攻防演练防守方筹备工作，具有丰富的企业安全建设经验。