好书推荐 |《Web安全攻防：渗透测试实战指南》（福利见文末！）

点击购买： 零基础入门，从渗透测试信息收集到后渗透攻防，安全专家实战讲解，全面介绍Web渗透核心攻击与防御方式！

书是精神的食粮，知道现在的人都讨厌什么人吗？他们都讨厌读书的人，因为现在，已经没有多少人能静下来专研书本了，他们沉迷于抖音快手，不想学习，他们觉得，读书的人，都是厉害的人！只需要从读一本书开始，仔细专研，必有所获！

今天，给大家推荐一本实用耐读易入手的新书《Web安全攻防：渗透测试实战指南》，本书系统地介绍了当前流行的高危漏洞的攻击手段和防御方法，语言通俗易懂，举例简单明了，结合具体案例进行讲解，可以让读者身临其境，快速地了解和掌握主流的漏洞利用技术与渗透测试技巧。

内容简介

全书共计7章，按照从简单到复杂﹑从基础到进阶的顺序讲解。

第1章介绍渗透测试前期的信息收集的种类和具体方法。

第2章讲解如何搭建渗透测试环境。

第3章详细介绍渗透测试中常用的SQLMap﹑Burp Suite﹑Nmap等 工具 的安装﹑入门和实战利用。

第4章通过多个系统实例，全面地对Web渗透的各种核心攻击技术（SQL注入﹑XSS攻击﹑CSRF攻击﹑SSRF攻击﹑暴力破解﹑文件上传﹑命令执行漏洞攻击﹑逻辑漏洞攻击﹑XXE漏洞攻击以及WAF绕过等）进行讲解。

第5章详细介绍Metasploit信息收集﹑漏洞分析攻击﹑权限提升﹑移植漏洞代码模块﹑建立后门等攻击手法。

第6章对PowerShell在后渗透阶段进行的一系列高级攻击进行了深度剖析。

第7章介绍如何对常见的安全漏洞进行代码审查，并结合实际的渗透案例完美复现了几种典型攻击手段的整个过程。

本书不要求读者具备渗透测试的相关背景，如有相关经验在理解时会更有帮助。

作者介绍

徐焱，北京交通大学安全研究员。2002年接触网络安全，主要研究方向是内网渗透和APT攻击，有丰富的网络安全渗透实践经验。已出版《网络攻防实战研究：漏洞利用与提权》一书。

李文轩，曾任职天融信渗透测试工程师，现任奇虎360攻防实验室安全研究员，擅长渗透测试，无线电安全。

王东亚，曾任职绿盟科技、天融信高级安全顾问，现任职安徽三实安全总监，擅长渗透测试和代码审计。

精彩书评

在我信息安全工作18年的生涯中，我认为本书对于想从事渗透测试工作的朋友们来说，确实是难得的一本良师秘籍。在我阅读完本书后，我向老友说，我会将本书推荐到我们北京中安国发信息技术研究院“全国5A级信息安全人才培养”的教材体系和“国家信息安全保障人员认证应急服务实践操作考试参考教材目录”中去,我也极力推荐专业从事渗透测试的人员、信息安全一线防护人员、网络安全厂商技术工程师、网络犯罪侦查与调查人员阅读此书。

——张胜生 ， 北京中安国发信息技术研究院院长

本书详实的从渗透测试实战出发的角度，增加了诸多新型渗透手法，完整的填补了一些国内人写书的空缺，纵观诸多国人编写的安全书籍，大多都是只介绍结果，从未更多的考虑过程。而本书恰恰是从实用出发，本着务实的精神，从环境搭建，再到渗透测试全阶段，以及主流工具的实例使用介绍，是每个从事信息安全的从业人员、以及在校大学生，以及一些高等职业院校学生的不可多得的一本实用大全，完全可以依据本书的案例来进行深入学习，有效的贴近企业，更好的有的放矢。

——陈亮 ， OWASP

结合全书的章节编排和内容设计，可以一览作者著书的初衷，理论与实践兼备，循序渐近，由浅入深。除了详尽的归纳梳理的理论知识体系，还有新近的安全大事件、安全攻防工具、技术案例等。通过理论指导实践，实践深化理论，推荐给对Web攻防感兴趣的朋友参考。

——程冲 ， 前金山软件集团安全负责人

如果您是初学者，认真看完这本书并参考案例实践，恭喜您进阶为中级渗透测试工程师，当您回头第二遍阅读时，重点专研本书中各种绕行攻击手法，恭喜您进阶为高级渗透测试工程师，当您第三遍阅读本书时，细品作者的攻击思路，恭喜您进阶为资深渗透测试工程师。

——周培源 ， 360企业安全集团安服高级总监

从攻击的角度去学习防护是网络安全工作者真正理解安全技术并快速提升实战能力的必经之路。Web应用作为互联网服务的直接承载者和访问入口，不可避免地成为攻击者的首要目标。不论是网站，还是移动APP的服务器，Web安全都是其最核心的风险点。这本书系统地介绍了当前Web攻击技术的原理和方法，既专业又易于理解，非常适合Web安全管理者学习、参考，是一本难得一遇的网安宝典。

——周勇林 ， 任子行网络技术股份有限公司常务副总裁

市面上写攻防的书不少，但很多内容过于陈旧，更多流于工具表面使用，很少有深入介绍漏洞原理的书籍。从这本书的内容来看，作者将实战中的经验、概念以深入浅出的方式呈现出来，带你进入渗透的世界。希望大家喜欢这本书，并从中受益。

——mcvoodoo ， 美团点评安全研究员

未知攻，焉知防？本书站在黑客的角度，从信息收集、漏洞发现、漏洞利用、内网渗透、权限维持等阶段，详细介绍了一次完整的渗透在每个阶段需要用到的技术，是真正渗透测试经验的总结，每一个阶段的内容都非常适合网络安全初学者学习，只有真正了解黑客的攻击手法，才能知道怎么去为企业安全建设完善的安全体系，推荐安全从业者阅读此书，更推荐企业为研发、运维、测试、架构等技术团队采购此书。

——尹毅 (Seay、法师) ， 量化云安全事业部总监

走进作者

98年出生的他，今年正好20，同时他也是安全客季刊小编遗忘哦！曾经担任天融信渗透测试工程师，现任奇虎360攻防实验室安全研究员，擅长渗透测试，无线电安全。

很厉害有木有，不仅如此生活中的他还是一名灵魂歌手，网易云搜索归途-李文轩，大家自己随意欣赏啦，另外，轩哥也是混唱吧、全民K歌的人，哪天遇见了别忘了给轩哥点一波赞~

同时，小哥哥还是一名生物黑客，像大佬Paumen一样，Paumen从事门禁系统安全工作，他在体内植入多个RFID芯片。挥挥手，门禁、车锁就可以自动打开；不仅如此他动一动左手手指，就可以将钥匙吸起来；不接触手机，就能给手机屏幕解锁，电脑也是如此。遗忘也在自己的手掌上植入了开锁芯片，超酷的有没有！

Paumen在ISC大会上的展现

遗忘手上芯片植入照片

到这里，有没有对小哥哥这本书《Web安全攻防：渗透测试实战指南》十分感兴趣，有没有很想要！

文末福利

福利1

活动规则：关注 安全客微信公众号 ，查看历史消息，转发第一篇文章“我们都只是在等待炬火，为什么我们不能成为炬火”到朋友圈集 50赞 并截图到 微信公众后台 ，我们将从中抽选 5名 粉丝赠送带有小哥哥亲笔签名的《Web安全攻防：渗透测试实战指南》一本！

截止日期 ：2018年8月8日8:00

小哥哥的字也是超好看的说！

安全客微信公众号二维码

福利2

小哥哥书太少，得不到？没关系，安全客神秘大礼照顾你，直接在本文下方留言，我们将会挑选出第 1、3、6、12、15、18、21、24、27、30 层的楼主送出10份神秘礼物！

备注：

1. 每人限领一个礼物 ，请不要同一个ID频繁在下方重复盖楼刷评论 ，如果评论多次我们视为一次处理。

4.活动截止时间：8月7日中午12:00

5.请务必登入账号之后再参与评论盖楼哦，不然我们无法与您本人取得联系

本书配套网站： www.ms08067.com