没有网络安全,就没有国家安全;没有网络安全人才,就没有网络安全。

为了更多、更快、更好地培养网络安全人才,许多高校都在加大投入,聘请优秀教师,招收优秀学生,以建设一流的网络空间安全专业。

网络空间安全专业建设需要体系化的培养方案、系统化的专业教材和专业化的师资队伍。优秀教材是网络空间安全专业人才培养的关键，然而,这是一项十分艰巨的任务。原因有二: 其一,网络空间安全的涉及面非常广,至少包括密码学、数学、计算机、通信工程等多门学科,因此,其知识体系庞杂,难以梳理;其二,网络空间安全的实践性很强,技术发展更新非常快,对教学环境和师资要求也很高。

作者一直从事网络安全方面的教学、服务和研究工作,积累了大量的实践经验。通过本书,作者将自己积累的学习经验和实际工作中的实践经验与读者分享,使读者可以在Web安全领域快速入门,通过典型漏洞代码分析对Web安全的漏洞原理有深入的理解,并且通过案例实践提高实际操作能力。

本书对各种漏洞的形成原理进行了深入、详细的分析，既包括常见的经典漏洞，也包括近来出现的新型漏洞，对各种漏洞都结合案例进行了详细的代码分析，并对漏洞的利用方式进行了全面讲解。读者可以通过本书了解各种漏洞的形成原理、利用方式及修复方法。不论是初学者还是有一定工作经验的从业者，都能通过本书全面、系统地掌握漏洞原理和相关知识。本书既可以作为Web安全初学者的入门书籍，又可以作为Web安全工作者的工具书。

“Web安全原理分析与实践”是网络空间安全和信息安全专业的专业课程。本书由浅入深,由理论到实践,讲解了与Web攻防相关的整个体系,涉及的知识面很宽。本书共13章。第1章介绍Web安全基础,第2章介绍SQL注入漏洞,第3章介绍文件上传漏洞,第4章介绍文件包含漏洞,第5章介绍命令执行漏洞,第6章介绍代码执行漏洞,第7章介绍XSS漏洞,第8章介绍SSRF漏洞,第9章介绍XXE漏洞,第10章介绍反序列化漏洞,第11章介绍中间件漏洞,第12章介绍解析漏洞,第13章介绍数据库漏洞。

本书既适合作为高校网络空间安全、信息安全、网络工程等相关专业的教材,也适合作为网络空间安全研究人员的基础读物。随着新技术的不断发展,作者今后将不断更新本书内容。

本书主要由闵海钊编写,参与编写的人员有李江涛、张敬、刘新鹏,参与校阅书稿的人员有张燕飞、王萌。本书的完成离不开作者的亲人和朋友的支持。在此我要感谢父母的养育之恩,是他们含辛茹苦把我养育成人;感谢参与编写和校阅的同事和朋友;感谢公司和领导对我的培养,给我成长、锻炼的机会;感谢清华大学出版社的编辑,他们给了我很多专业的建议和帮助;感谢所有对本书做出贡献的人,没有他们的付出和支持,本书不可能面世。

特别说明: 本书中使用的每一个URL或者IP地址都是作者自己搭建的测试环境地址,如果与已有的域名或者IP地址重复,纯属巧合。本书相关的漏洞示例代码和相关工具的下载方式统一放在清华大学出版社官网的本书页面。

本书大部分内容是作者利用业余时间在实践的基础上编写的。由于时间仓促,书中难免存在疏漏和不妥之处,欢迎读者批评指正。

不忘初心,方得始终。

闵海钊2019年6月