跟安全技术大师学习黑客攻防技术，全面分析Web应用程序安全漏洞，大量实例和代码片段。
　　越来越多的关键应用现在已经迁移到网站上，这些Web应用的安全已经成为各机构的重要挑战。知己知彼，方能百战不殆。只有了解Web应用程序中存在的可被利用的漏洞和攻击者所采用的攻击方法，才能更有效地确保Web安全。
　　本书是Web安全领域专家的经验结晶，系统阐述了如何针对Web应用程序展开攻击与反攻击，详细剖析了攻击时所使用的技巧、步骤和工具，条理清晰，内容全面，几乎涵盖了所有Web核心技术以及Web应用程序的核心功能，另外还为读者提供了作者自己开发的几个探查漏洞的工具，是一本难得一见的黑客技术实用宝典。

　　本书是探索和研究Web应用程序安全缺陷的实践指南。作者利用大量的实际案例、屏幕快照和示例代码，详细介绍了每一种Web应用程序弱点，并深入阐述了如何针对Web应用程序进行具体的渗透测试。本书从介绍当前Web应用程序安全概况开始，重点讨论渗透测试时使用的技巧和详细步骤，最后总结书中涵盖的主题。每章后还附有习题，便于读者巩固所学内容。
　　本书适用于各层次计算机安全和Web开发与管理领域的技术人员。

Dafydd Stuttard，世界知名的安全技术专家。著名Web应用攻击测试工具Burp Suite的开发者。以网名PortSwigger蜚声安全界。牛津大学博士，现任Next Generation Security Software公司资深安全顾问，主要负责Web应用程序安全。

第1章　Web应用程序安全与风险
第2章　核心防御机制
第3章　Web应用程序技术
第4章　解析应用程序
第5章　避开客户端控件　
第6章　攻击验证机制
第7章　攻击会话管理　
第8章　攻击访问控制
第9章　代码注入　
第10章　利用路径遍历
第11章　攻击应用程序逻辑
第12章　攻击其他用户
第13章　定制攻击自动化　
第14章　利用信息泄露
第15章　攻击编译型应用程序　
第16章　攻击应用程序架构
第17章　攻击Web服务器　
第18章　查找源代码中的漏洞
第19章　Web应用程序黑客工具包
第20章　Web应用程序渗透测试方法论　

第1章　Web应用程序安全与风险　　
　　Web应用程序安全无疑是当务之急，也是值得关注的话题。对相关各方而言，这一问题都至关重要。这里的相关各方包括因特网业务收入日益增长的公司、向web应用程序托付敏感信息的用户，以及通过窃取支付信息或入侵银行账户偷窃巨额资金的犯罪分子。可靠的信誉也非常重要，没人愿意与不安全的web站点进行交易，也没有组织愿意披露有关其安全方面的漏洞或违规行为的详细情况。因此，获取当前web应用程序安全状况的可靠信息不可小视。
本章简要介绍web应用程序的发展历程及它们提供的诸多优点，并且列举我们亲身体验过的在目前web应用程序中存在的漏洞，这些漏洞表明绝大多数应用程序还远远不够安全。本章还将描述web应用程序面临的核心安全问题（即用户可提交任意输入的问题），以及造成安全问题的各种因素。最后讨论web应用程序安全方面的最新发展趋势，并预测其未来的发展方向。
　　1.1 Web应用程序的发展历程
在因特网发展的早期阶段，万维网（world Wideweb）仅由web站点构成，这些站点基本上是包含静态文档的信息库。随后人们发明了web浏览器，通过它来提取和显示那些文档，如图1.1所示。这种相关信息流仅由服务器向浏览器单向传送。多数站点并不验证用户的合法性，因为根本没有必要这样做；所有用户同等对待，收取同样的信息。创建一个web站点所带来的安全威胁主要与web服务器软件的（诸多）漏洞有关。攻击者入侵web站点并不能获取任何敏感信息，因为服务器上保存的信息可以公开查看。……