新书推荐《Web漏洞解析与攻防实战》
2023-4-25 08:42:3 Author: dotNet安全矩阵(查看原文) 阅读量:179 收藏

首先非常感谢dotNet安全矩阵邀请,写一篇文章来介绍一下我与其他几位师傅合作完成,由机械工业出版社出版的这本新书《Web漏洞解析与攻防实战》。

相信有一些朋友已经拿到实体书并已经开始阅读一些章节的内容了,希望我的这篇文章能对大家更全面理解本书有所帮助。这本书可以作为安全初学者入门的第一本书,也非常适合用作Web安全培训的教学讲义。对于书籍整体架上,我尽可能追求“涵盖全面,原理清晰,描述客观,内容准确”。

对于刚开始接触计算机网络的同学来说,建议看一下“计算机网络概述”,这里我尽量将非常复杂的计算机网络技术压缩为一段内容来完整介绍,相比于传统的教科书少了很多技术细节,但的确可以让大家以最快的速度理解计算机网络,不至于一开始就放弃。对于刚刚接触Web安全的初学者,我将给你们介绍的第一个漏洞设定为了SQL注入漏洞,这也是我接触和利用成功的第一个漏洞。我至今仍能回想起当时成功的喜悦,当然整个过程也并不是一帆风顺的,得到了丁杨学长(也是本书推荐专家之一)的帮助。初次接触晦涩难懂的内容,一开始确实会有点沮丧,但是如果能静下心慢慢理解。相信一定能在成功完成实战内容后收到同样多的成就感,而这样的成就感足以陪伴你们走完接下来Web安全学习的全部旅程。SQL注入漏洞可以说是我个人研究和接触比较多的漏洞,我也是用了较多的篇幅来介绍它,基本上大家能见到的SQL注入类型我都尽量涵盖进来了。

对于对前端漏洞感兴趣的朋友,大家可以阅读XSS漏洞章节,这一章节中,曾经贡献了给TSRC最多XSS漏洞的Camaro师傅完成了主要的技术输出。对于有一定攻防经验的Web安全研究人员,建议阅读反序列化漏洞章节。这也是由业内非常资深的Java安全研究员王子航师傅精心编写的。他对于本书质量的追求与他在漏洞挖掘领域的要求同样苛刻,相信他对反序列化漏洞的解读一定能给大家带来满满的收获。为了还原原汁原味的攻防内容,笔者特意邀请了幽灵猫漏洞的发现者 Noxxx师傅来客串本书的幽灵猫漏洞章节,还有什么比发现者本人讲更有趣的呢?本书尽量将漏洞与编程语言剥离开来,因为无论以哪种语言来举例,对于不属于这种语言的学习者来说,都会承受额外的学习压力。希望读者朋友将漏洞原理吸收,然后和自己所擅长的语言进行融汇,dotNet安全矩阵的朋友,你们一定也能在.Net语言中找到本书所介绍漏洞的映射。在很多内容的打磨过程中,大家或多或少都能看到P师傅文风的影子,他写的文章一直以来都是好评如潮。他致力维护和打造的Vulhub平台也为本书的实战内容带来了最轻量化的部署方案。在实战环境改造和验证过程中,感谢白菜师傅和朱锟师傅花费了大量业余时间来帮助我整理完善。

最后,我也关注到了在网上已经有一些关于本书的议论,首先感谢大家的认可,同时也希望大家不要拉踩,任何一本书籍背后都融汇了作者的心血,能用心读完并指出书中存在的优点或缺点就是作者最大的尊重。我只不过是做了一些收集、核实与整理的工作,正如本书最后一页的结语所言:“祝福每一位Web安全探险家都能找到属于自己的美丽星球”。


文章来源: http://mp.weixin.qq.com/s?__biz=MzUyOTc3NTQ5MA==&mid=2247487619&idx=1&sn=89e51d5cfa4c0ee5284e4927ef6dcba2&chksm=fa5abe6ecd2d3778dc456b75e11fefb6e184aae2760902052456144600071f8bb97911347d2d#rd
如有侵权请联系:admin#unsafe.sh