Web 安全攻防之道

根据 HackerOne 的报告数据，71％ 的安全问题都出现在网站上，其次是一些 API 接口，而这些接口很大一部分都来自 Web 。

可以说，网站安全攻防（我们俗称 Web 安全），占比通常达到了 80％以上。Web 安全是最受外部黑客关注的目标，也是企业应该重点防御的对象。

不论你是后端还是前端，都应该意识到 Web 安全与整个开发团队成员都有关，当不可逆的安全问题发生时，只有熟悉安全攻防技术，才有化危为安的可能。

专栏解读

本专栏共 3 个模块，通过理论分析、工具和方法论介绍、案例实战带你了解 Web 安全，建立完整的 Web 安全知识体系。

模块一：Web 攻防基础。这是正式开始前的准备工作，主要介绍了一些常用的工具，带你搭建靶场进行演练，避免非法测试他人网站。通过这一部分的学习，你可以掌握一些常用的渗透工具和信息收集的方法，学会搭建靶场，帮助你提高测试效率和成功率，更好地理解漏洞的产生原理和利用，提高实战能力。

模块二：漏洞攻防案例。作为这门课最硬核的部分，在模块一的基础上，补充了一些实用的工具和测试方法（例如sqlmap 的使用），讲解了各种常见的 Web 漏洞攻防原理，教你如何进行安全测试，并搭建靶场进行演练。通过这一部分的学习，你可以掌握 XSS、SQL 注入、CSRF 等常见 Web 漏洞类型的攻击与防御方法。

模块三：Web 安全建设。这里介绍的是企业内部对于 Web 安全漏洞的防御方法，如何更系统、更全面、更早地检测、修复、拦截各种漏洞，防止企业产品遭受外部利用漏洞进行恶意攻击是这一模块的重点。通过这一部分的学习，你可以保障自己业务产品的正常运行，若是被攻击入侵，也能拥有修复漏洞和应急处置的能力。

开篇词 | 学习 Web 安全，防止你的网站被入侵
课前导读 | 如何学习 Web 渗透技术
01 | 武器库：常用的渗透测试工具
02 | 信息收集：掌握目标的一切信息
03 | 靶场：搭建漏洞练习环境
加餐 | 法律法规：如何合法地进行渗透测试
04 | XSS：劫持身份的“惯犯”
05 | XSS：漏洞的检测与防御
06 | SQL 注入：小心数据库被拖走（上）
07 | SQL 注入：小心数据库被拖走（下）
08 | SQL 注入：漏洞的检测与防御
09 | CSRF 漏洞：谁改了我的密码？
10 | SSRF 漏洞：外网隔离就绝对安全了吗？
11 | XXE 漏洞：XML 解析器的坑
12 | 反序列化漏洞：数据转换下的欺骗
13 | 文件上传漏洞：种植服务器木马的捷径
14 | 命令与代码注入：常令安全人员半夜应急的漏洞
15 | 文件包含：不受限地引入文件可能导致网站被入侵
16 | 逻辑漏洞：你的订单信息是如何泄露的？
17 | 内网渗透：内网的员工电脑是怎么被外部黑掉的？
18 | 构建防线：服务器安全加固
19 | 入侵排查：阻断与追踪黑客
20 | 研发安全：从 SDL 到 DevSecOps
结束语 | 谈谈我的安全观