本书是谷歌公司高性能团队核心成员的权威之作，堪称实战经验与规范解读完美结合的产物。本书目标是涵盖Web 开发者技术体系中应该掌握的所有网络及性能优化知识。全书以性能优化为主线，从TCP、UDP 和TLS 协议讲起，解释了如何针对这几种协议和基础设施来优化应用。然后深入探讨了无线和移动网络的工作机制。最后，揭示了HTTP 协议的底层细节，同时详细介绍了HTTP 2.0、 XHR、SSE、WebSocket、WebRTC 和DataChannel 等现代浏览器新增的具有革命性的新能力。 本书适合所有Web 应用及站点开发人员阅读，包括但不限于前端、后端、运维、大数据分析、UI/UX、存储、视频、实时消息，以及性能工程师。 Ilya Grigorik 是谷歌“Web加速”（Make The Web Fast）团队的性能工程师、开发大使。他每天的主要工作就是琢磨怎么让Web应用速度更快，总结并推广能够提升应用性能的最佳实践。 作者简介： Ilya Grigorik 是谷歌“Web加速”（Make The Web Fast）团队的性能工程师、开发大使。他每天的主要工作就是琢磨怎么让Web应用速度更快，总结并推广能够提升应用性能的最佳实践。 在专注于研究Web性能之前，Ilya创办了PostRank公司并担任CTO，这是一家社交分析公司。他的这家公司被谷歌收购后，成为了Google Analytics中社交分析报告模块的核心。除了研究Web性能和分析，Ilya还会为开源项目做做贡献、看看书，或者写一些好玩的项目，比如VimGolf、GitHub Archive等。 译者简介： 李松峰 2006年起投身翻译，出版过译著30余部，包括《JavaScript高级程序设计》、《简约至上》等畅销书。2008年进入出版业，从事技术图书编辑和审稿工作。 2007年创立知识分享网站“为之漫笔”（cn-cuckoo.com），翻译了大量国外经典技术文章。2012年下半年创立“A List Apart中文版”站点（alistapart.cn），旨在向中文读者译介这一国际顶级Web设计与开发杂志。他经常参加技术社区活动，曾在W3ctech 2012 Mobile上分享“Dive into Responsive Web Design”。2013年1月应邀在金山网络分享“响应式Web设计”，2013年3月应邀在奇虎360分享“JS的国”。

《白帽子讲Web安全》内容简介：在互联网时代，数据安全与个人隐私受到了前所未有的挑战，各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据？《白帽子讲Web安全》将带你走进Web安全的世界，让你了解Web安全的方方面面。 黑客不再变得神秘，攻击技术原来我也可以会，小网站主自己也能找到正确的安全道路。大公司是怎么做安全的，为什么要选择这样的方案呢？你能在《白帽子讲Web安全》中找到答案。详细的剖析，让你不仅能“知其然”，更能“知其所以然”。 吴翰清，毕业于西安交通大学少年班，从2000年开始研究网络攻防技术。在大学期间创立了在中国安全圈内极具影响力的组织“幻影”。

本书对互联网基盘——HTTP协议进行了全面系统的介绍。作者由HTTP协议的发展历史娓娓道来，严谨细致地剖析了HTTP协议的结构，列举诸多常见通信场景及实战案例，最后延伸到Web安全、最新技术动向等方面。本书的特色为在讲解的同时，辅以大量生动形象的通信图例，更好地帮助读者深刻理解HTTP通信过程中客户端与服务器之间的交互情况。读者可通过本书快速了解并掌握HTTP协议的基础，前端工程师分析抓包数据，后端工程师实现REST API、实现自己的HTTP服务器等过程中所需的HTTP相关知识点本书均有介绍。 本书适合Web开发工程师，以及对HTTP协议感兴趣的各层次读者。 作者简介 上野 宣 OWASP 日本分会会长，TRICORDER株式会社董事长。 主要从事安全咨询、风险评估、信息安全教育等工作。著有《今晚我们一起学习邮件协议》（今夜わかるメールプロトコル）、《今晚我们一起学习TCP/IP》（今夜わかるTCP/IP）、《今晚我们一起学习HTTP》（今夜わかるHTTP）。担任The Tangled Web:A Guide to Securing Modern Web Application日文版的审校工作。 译者简介 于均良 上海交通大学硕士，高级软件工程师，马拉松跑者，四点网创始人。

本书是“网络空间安全系列丛书”之一。作为中国科学院大学研究生教材，本书系统、完整地讲解云计算安全体系，包括云计算基本概念、云计算面临的风险、云计算基础设施安全、云存储与数据安全、云计算应用安全、云计算安全管理、云计算安全标准、云计算风险管理与合规要求，以及云计算安全实践。 陈驰，男，博士，中国科学院信息工程研究所教授、博士生导师。从事信息安全领域的科研工作，先后主持或参与中国科学院战略性先导专项、中宣部广播云专项、国家863计划、国家自然科学基金、核高基重大专项、新疆自治区重大科技专项和国家标准制修订项目等省部级项目十余项；主持制定国家标准3项，参与编制国家标准7项。

《Web安全攻防：渗透测试实战指南》由浅入深、全面、系统地介绍了当前流行的高危漏洞的攻击手段和防御方法，并力求语言通俗易懂，举例简单明了，便于读者阅读、领会。结合具体案例进行讲解，可以让读者身临其境，快速地了解和掌握主流的漏洞利用技术与渗透测试技巧。 阅读《Web安全攻防：渗透测试实战指南》不要求读者具备渗透测试的相关背景，如有相关经验在理解时会更有帮助。《Web安全攻防：渗透测试实战指南》亦可作为大专院校信息安全学科的教材。 徐焱，北京交通大学长三角研究院安全研究员。2002年接触网络安全，主要研究方向是内网渗透和APT攻击，有丰富的网络安全渗透经验。已出版图书《网络攻防实战研究：漏洞利用与提权》，曾在《黑客防线》、《黑客X档案》、《黑客手册》、FreeBuf、360安全客、阿里云盾先知、嘶吼等杂志和媒体上发表过多篇技术文章。 李文轩，常用ID：遗忘。曾任天融信渗透测试工程师，现任奇虎360攻防实验室安全研究员，擅长渗透测试、无线电安全，活跃于多个漏洞报告平台，报告过多个CVE漏洞，参与360安全客季刊的编辑审核。 王东亚，常用ID：0xExploit。曾任职绿盟科技、天融信高级安全顾问，现任职安徽三实安全总监，ATK团队发起人。擅长渗透测试和代码审计，活跃于多个漏洞报告平台，报告过数千个安全漏洞，包括多个CNVD、CVE漏洞。曾在FreeBuf、绿盟技术季刊等杂志和媒体发表过多篇专业技术文章，获得多个CTF比赛名次。

黑客的第一本书！一位混迹在网络黑白世界中的黑客与你共分享一场饕餮盛宴！ 网络安全和信息隐私已经成为各界十分关注的问题，这些占据新闻头条的事件涉及了政府、企业和其它组织、家庭和个人的数据泄露。每年遭受虚假信息、电话诈骗、木马病毒、网络钓鱼、帐号被盗、网购陷阱、银行卡盗刷等中招的网民不计其数，为了减少网民的损失，提高全民网络安全意识，学习必要的手段与防范技巧尤其重要。信息时代，企业和个人面临的重大问题之一是信息安全意识的匮乏，要么他们根本没有认识到这一点，要么忽视，要么不愿为此买单。网络安全是互联网公司的生命，也是每位网民的最基本需求！ 《网络黑白》是国内2016年最新的黑客类最完整的一本适合小白阅读的书籍，其中包含黑客入门、社会工程学、渗透参考书。书中讲的不仅仅是一个个案例，更有一种社会工程师的思维模式与enjoy hacking的方法，书中的每一个章节都值得细细品味。 我们常听说某社会工程师以假冒身份、翻垃圾桶等方式获得机密资料……但在中国，如果你直接这样做，估计你马上会获得精致手铐一副及精美囚衣一件。但假如你连目标都无法接触到，如何进行社会工程攻击呢？大神花无涯 分享自己的经验，大章节描述了现在社会工程学更加全面的方式。 信息安全是一个整体，而社会工程学也属于信息安全这个整体。但从现在的信息安全现状来看，社会工程学攻击则是整个信息安全中的最短板，社会工程攻击与传统信息安全不同，给我们带来的危害也非我们所能估量。本书将像一盏黑暗中的指路灯，帮助你弄清鲜为人知的黑客社会工程攻击手段，并学会如何防御它的攻击。同时不仅仅有社会工程学更加帮助小白提供网络安全意识，和防御网络最新的诈骗手段分析，非常值得一看。 中国黑客协会 黑白公益 创始人 花无涯

本书将通过分析黑客采用的攻击战术来提升测试者的渗透测试技能：通过实验室集成到云服务，从而了解在渗透测试中通常被忽略的一个开发维度；探索在虚拟机和容器化环境中安装和运行Kali Linux的不同方法，以及使用容器在AWS上部署易受攻击的云服务，利用配置错误的S3桶来访问EC2实例；深入研究被动和主动侦察，从获取用户信息到大规模端口扫描，在此基础上，探索了不同的脆弱性评估，包括威胁建模；讲述了如何在受损系统上使用横向移动、特权升级以及命令与控制（C2）；探索在互联网、物联网、嵌入式外围设备和无线通信中使用的高级渗透测试方法。 维杰·库马尔·维卢，资深信息安全从业者、作者、演讲人和博主。V0ay目前是马来西亚Big4的副总监之一，拥有超过11年的IT行业经验，专门为各种网络安全问题提供技术解决方案，包括简单的安全配置审查、网络威胁情报，以及事件响应等。

适读人群：本书主要适合对数据合规、网络安全、隐私保护等领域和问题感兴趣或涉及此类工作的人群，包括企业法务、律师、信息安全专业人士、咨询公司、安全服务提供商和关心这一领域的学者、立法和司法人士 资深律师，企业法务的多年一线数据合规经验的系统总结！实务经验干货！ 全书以“白小萌萌”作为数据合规律师的进阶轨迹为主线，从企业数据合规工作整体认知入手，梳理数据保护法律全景，生动具体地介绍了企业数据合规工作中十二个常见业务场景的实操经验，从日常工作必备的隐私政策如何写到出海和上市的数据合规风险，展望了“数据保护官”的多维能力，可谓是数据合规前行道路上必备的工作指引。 本书结构清晰、体系完整，可使读者快速获得数据合规工作的全景式认知。 孟洁，现任北京市环球律师事务所合伙人，主要执业领域为网络安全、个人信息与隐私保护。曾在多家知名企业担任法务负责人和数据保护官，任IAPP中国区知识社区主席，被钱伯斯、Ｔhe Legal 500、LEGALBAND等知名法律评级机构评为“TMT领域领军人物”“数据保护领域领军人物”“Fintech领域头部律师”等，被北京市律协评为全国千名涉外专家律师。 薛颖，长期在互联网集团担任数据合规与知识产权总监。在外企、世界五百强公司等从事过多年数据隐私合规工作，拥有丰富的互联网场景一线经验。持有CIPP/E、CIPP/U认证，当选ALB中国知识产权法务15强并带领团队获得过《商法》年度“数据合规”优秀团队等奖项。 朱玲凤，现任知名互联网公司隐私及数据合规专家，曾任小米安全与隐私委员会隐私副主席。多年从事数据隐私合规研究和实务工作，深入参与国内信息安全相关标准拟定和重要法律研讨等，在全球隐私法律研究、隐私保护设计、隐私安全技术应用与管理以及App、物联网、人工智能等领域有丰富的实践经验。

本书主要讨论目前常见的漏洞利用和提权技术，从攻击与防御的角度介绍渗透过程中相对最难，同时又是渗透最高境界的部分——如何获取服务器乃至整个网络的权限。本书共分9章，由浅入深，按照读者容易理解的方式对内容进行分类，每一节介绍一个漏洞和提权技术的典型应用，同时结合案例进行讲解，并给出一些经典的总结。本书的目的是通过分享漏洞利用与提权技术，结合一些案例来探讨网络安全，远离黑客的威胁。通过本书的学习，读者可以快速了解和掌握主流的漏洞利用与提权渗透技术，加固自己的服务器。 本书既可以作为政府、企业网络安全从业者的参考资料，也可以作为大专院校信息安全学科的教材。 陈小兵，高级工程师，目前在某政府部门任职。从事网络安全工作15年，拥有丰富的网络安全管理、维护和渗透经验，已出版《SQLServer2000培训教程》、《黑客攻防实战案例解析》、《Web渗透技术及实战案例解析》及《安全之路-Web渗透技术及实战案例解析》专著，在《黑客防线》、《黑客手册》、《网管员世界》、51cto、Freebuf以及IT168等杂志和媒体发表文章100余篇，在国内外刊物发表学术论文10余篇，其中核心期刊2篇。

本书主要面向CTF入门者，融入了CTF比赛的方方面面，让读者可以进行系统性的学习。本书包括13章内容，技术介绍分为线上赛和线下赛两部分。线上赛包括10章，涵盖Web、PWN、Reverse、APK、Misc、Crypto、区块链、代码审计。线下赛包括2章，分别为AWD和靶场渗透。第13章通过Nu1L战队成员的故事和联合战队管理等内容来分享CTF战队组建和管理、运营的经验。 Nu1L战队成员来自于上海科技大学、西华大学、成都信息工程大学、北京理工大学等全国多所高校，最早是由两个研究Web的同学创建，队名源于计算机中语言中经常出现的“NULL”。