Loading......

    随着网络技术的快速发展以及网络带宽的不断扩张，Web应用程序几乎无处不在，渗透到社会的经济、文化、娱乐等各个方面。但同时，承载着丰富功能与用途的Web应用程序也成为恶意用户与黑客等攻击者的主要攻击目标。因此，如何确保Web应用程序的安全已成为政府、企业，特别是银行等金融机构所面临的主要挑战。
    古语云：知己知彼，百战不殆。只有充分了解攻击者所采用的攻击方法以及Web应用程序中存在的可供攻击者利用的各种漏洞，我们才能针对这些漏洞采取行之有效的防御方法。本书两位作者都是安全领域的专家，拥有丰富的渗透测试实践经验，因而本书具有极高的实用价值。书中主要介绍了渗透测试员在测试Web应用程序时所采用的步骤和技巧。同时，从防御的角度看，这些步骤与技巧也为确保Web应用程序的安全、加强防御措施指明了方向。
    本书内容全面，几乎涵盖了所有Web核心技术，如HTTP、客户与服务器端技术、数据编码等；涉及了Web应用程序的主要核心功能，如客户端控件、会话管理、访问控制、应用程序逻辑与体系架构、Web服务器等；详细分析了各种类型的漏洞，如代码注入、路径遍历、跨站点脚本、重定向攻击、跨站点请求伪造、会话劫持、会话固定、缓冲区溢出、整数漏洞、格式化漏洞等；还提供了一些作者作为专业渗透测试员开发的Burp Intruder、JAttack、Paros、WebScarab、Nikto、Hydra等工具。另外，为弥补读者在某些方面的知识欠缺，本书还提供了一些背景知识及相关链接。本着实用的原则，作者在分析漏洞、介绍渗透测试步骤与技术的同时，还提供了大量实例与代码片段；每节的“渗透测试步骤”部分还对前面讨论的内容进行了简要总结。此外，每章最后的“问题”可帮助读者回顾该章的重点知识。这些问题的答案可在本书的同步网站（www.wiley.com/go/webhacker）上找到。
    感谢看雪论坛以及Ivan、Failwest等朋友给予的技术支持，感谢妻子对我工作的莫大支持，她的爱是我前进的动力。
由于译者水平有限，加之时间仓促，译文难免存在各种错误或不妥之处，还请大家指正。有关文字与技术方面的问题，欢迎致信shy1639@hotmail.com与译者交流，谢谢大家！