《白帽子讲Web安全》内容简介：在互联网时代，数据安全与个人隐私受到了前所未有的挑战，各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据？《白帽子讲Web安全》将带你走进Web安全的世界，让你了解Web安全的方方面面。 黑客不再变得神秘，攻击技术原来我也可以会，小网站主自己也能找到正确的安全道路。大公司是怎么做安全的，为什么要选择这样的方案呢？你能在《白帽子讲Web安全》中找到答案。详细的剖析，让你不仅能“知其然”，更能“知其所以然”。 吴翰清，毕业于西安交通大学少年班，从2000年开始研究网络攻防技术。在大学期间创立了在中国安全圈内极具影响力的组织“幻影”。

黑客的第一本书！一位混迹在网络黑白世界中的黑客与你共分享一场饕餮盛宴！ 网络安全和信息隐私已经成为各界十分关注的问题，这些占据新闻头条的事件涉及了政府、企业和其它组织、家庭和个人的数据泄露。每年遭受虚假信息、电话诈骗、木马病毒、网络钓鱼、帐号被盗、网购陷阱、银行卡盗刷等中招的网民不计其数，为了减少网民的损失，提高全民网络安全意识，学习必要的手段与防范技巧尤其重要。信息时代，企业和个人面临的重大问题之一是信息安全意识的匮乏，要么他们根本没有认识到这一点，要么忽视，要么不愿为此买单。网络安全是互联网公司的生命，也是每位网民的最基本需求！ 《网络黑白》是国内2016年最新的黑客类最完整的一本适合小白阅读的书籍，其中包含黑客入门、社会工程学、渗透参考书。书中讲的不仅仅是一个个案例，更有一种社会工程师的思维模式与enjoy hacking的方法，书中的每一个章节都值得细细品味。 我们常听说某社会工程师以假冒身份、翻垃圾桶等方式获得机密资料……但在中国，如果你直接这样做，估计你马上会获得精致手铐一副及精美囚衣一件。但假如你连目标都无法接触到，如何进行社会工程攻击呢？大神花无涯 分享自己的经验，大章节描述了现在社会工程学更加全面的方式。 信息安全是一个整体，而社会工程学也属于信息安全这个整体。但从现在的信息安全现状来看，社会工程学攻击则是整个信息安全中的最短板，社会工程攻击与传统信息安全不同，给我们带来的危害也非我们所能估量。本书将像一盏黑暗中的指路灯，帮助你弄清鲜为人知的黑客社会工程攻击手段，并学会如何防御它的攻击。同时不仅仅有社会工程学更加帮助小白提供网络安全意识，和防御网络最新的诈骗手段分析，非常值得一看。 中国黑客协会 黑白公益 创始人 花无涯

本书对互联网基盘——HTTP协议进行了全面系统的介绍。作者由HTTP协议的发展历史娓娓道来，严谨细致地剖析了HTTP协议的结构，列举诸多常见通信场景及实战案例，最后延伸到Web安全、最新技术动向等方面。本书的特色为在讲解的同时，辅以大量生动形象的通信图例，更好地帮助读者深刻理解HTTP通信过程中客户端与服务器之间的交互情况。读者可通过本书快速了解并掌握HTTP协议的基础，前端工程师分析抓包数据，后端工程师实现REST API、实现自己的HTTP服务器等过程中所需的HTTP相关知识点本书均有介绍。 本书适合Web开发工程师，以及对HTTP协议感兴趣的各层次读者。 作者简介 上野 宣 OWASP 日本分会会长，TRICORDER株式会社董事长。 主要从事安全咨询、风险评估、信息安全教育等工作。著有《今晚我们一起学习邮件协议》（今夜わかるメールプロトコル）、《今晚我们一起学习TCP/IP》（今夜わかるTCP/IP）、《今晚我们一起学习HTTP》（今夜わかるHTTP）。担任The Tangled Web:A Guide to Securing Modern Web Application日文版的审校工作。 译者简介 于均良 上海交通大学硕士，高级软件工程师，马拉松跑者，四点网创始人。

本书是谷歌公司高性能团队核心成员的权威之作，堪称实战经验与规范解读完美结合的产物。本书目标是涵盖Web 开发者技术体系中应该掌握的所有网络及性能优化知识。全书以性能优化为主线，从TCP、UDP 和TLS 协议讲起，解释了如何针对这几种协议和基础设施来优化应用。然后深入探讨了无线和移动网络的工作机制。最后，揭示了HTTP 协议的底层细节，同时详细介绍了HTTP 2.0、 XHR、SSE、WebSocket、WebRTC 和DataChannel 等现代浏览器新增的具有革命性的新能力。 本书适合所有Web 应用及站点开发人员阅读，包括但不限于前端、后端、运维、大数据分析、UI/UX、存储、视频、实时消息，以及性能工程师。 Ilya Grigorik 是谷歌“Web加速”（Make The Web Fast）团队的性能工程师、开发大使。他每天的主要工作就是琢磨怎么让Web应用速度更快，总结并推广能够提升应用性能的最佳实践。 作者简介： Ilya Grigorik 是谷歌“Web加速”（Make The Web Fast）团队的性能工程师、开发大使。他每天的主要工作就是琢磨怎么让Web应用速度更快，总结并推广能够提升应用性能的最佳实践。 在专注于研究Web性能之前，Ilya创办了PostRank公司并担任CTO，这是一家社交分析公司。他的这家公司被谷歌收购后，成为了Google Analytics中社交分析报告模块的核心。除了研究Web性能和分析，Ilya还会为开源项目做做贡献、看看书，或者写一些好玩的项目，比如VimGolf、GitHub Archive等。 译者简介： 李松峰 2006年起投身翻译，出版过译著30余部，包括《JavaScript高级程序设计》、《简约至上》等畅销书。2008年进入出版业，从事技术图书编辑和审稿工作。 2007年创立知识分享网站“为之漫笔”（cn-cuckoo.com），翻译了大量国外经典技术文章。2012年下半年创立“A List Apart中文版”站点（alistapart.cn），旨在向中文读者译介这一国际顶级Web设计与开发杂志。他经常参加技术社区活动，曾在W3ctech 2012 Mobile上分享“Dive into Responsive Web Design”。2013年1月应邀在金山网络分享“响应式Web设计”，2013年3月应邀在奇虎360分享“JS的国”。

《Web安全攻防：渗透测试实战指南》由浅入深、全面、系统地介绍了当前流行的高危漏洞的攻击手段和防御方法，并力求语言通俗易懂，举例简单明了，便于读者阅读、领会。结合具体案例进行讲解，可以让读者身临其境，快速地了解和掌握主流的漏洞利用技术与渗透测试技巧。 阅读《Web安全攻防：渗透测试实战指南》不要求读者具备渗透测试的相关背景，如有相关经验在理解时会更有帮助。《Web安全攻防：渗透测试实战指南》亦可作为大专院校信息安全学科的教材。 徐焱，北京交通大学长三角研究院安全研究员。2002年接触网络安全，主要研究方向是内网渗透和APT攻击，有丰富的网络安全渗透经验。已出版图书《网络攻防实战研究：漏洞利用与提权》，曾在《黑客防线》、《黑客X档案》、《黑客手册》、FreeBuf、360安全客、阿里云盾先知、嘶吼等杂志和媒体上发表过多篇技术文章。 李文轩，常用ID：遗忘。曾任天融信渗透测试工程师，现任奇虎360攻防实验室安全研究员，擅长渗透测试、无线电安全，活跃于多个漏洞报告平台，报告过多个CVE漏洞，参与360安全客季刊的编辑审核。 王东亚，常用ID：0xExploit。曾任职绿盟科技、天融信高级安全顾问，现任职安徽三实安全总监，ATK团队发起人。擅长渗透测试和代码审计，活跃于多个漏洞报告平台，报告过数千个安全漏洞，包括多个CNVD、CVE漏洞。曾在FreeBuf、绿盟技术季刊等杂志和媒体发表过多篇专业技术文章，获得多个CTF比赛名次。

本书将通过分析黑客采用的攻击战术来提升测试者的渗透测试技能：通过实验室集成到云服务，从而了解在渗透测试中通常被忽略的一个开发维度；探索在虚拟机和容器化环境中安装和运行Kali Linux的不同方法，以及使用容器在AWS上部署易受攻击的云服务，利用配置错误的S3桶来访问EC2实例；深入研究被动和主动侦察，从获取用户信息到大规模端口扫描，在此基础上，探索了不同的脆弱性评估，包括威胁建模；讲述了如何在受损系统上使用横向移动、特权升级以及命令与控制（C2）；探索在互联网、物联网、嵌入式外围设备和无线通信中使用的高级渗透测试方法。 维杰·库马尔·维卢，资深信息安全从业者、作者、演讲人和博主。V0ay目前是马来西亚Big4的副总监之一，拥有超过11年的IT行业经验，专门为各种网络安全问题提供技术解决方案，包括简单的安全配置审查、网络威胁情报，以及事件响应等。

本书分为三个部分，分别介绍了数据要素市场、数据安全和隐私计算。第一部分介绍了数据要素市场的基本情况，包括数据要素制度体系和数据要素市场发展；第二部分结合数字化转型的背景，讲述了多个具备代表性的数据安全理论及实践框架、数据安全常见风险、数据安全保护最佳实践、代表性行业数据安全实践，以及数据安全技术原理、大模型与数据安全等内容；第三部分详细讲解了可信数据流通交易空间、隐私计算技术原理、隐私保护大模型基础设施等内容。本书可以作为高校学生、数据要素市场从业者、数据安全行业从业者的入门读物，也可作为相关机构或组织进行数据要素市场流通体系建设实践的参考指南。 范渊，现任杭州安恒信息技术股份有限公司董事长兼总裁，对物联网安全、工业互联网安全、云安全、大数据安全、智慧城市安全等领域有深入的研究。主编和参与出版的图书如下：《智慧城市与信息安全》《智慧城市与信息安全》（第2版）《大数据时代的智慧城市与信息安全》《数字经济时代的智慧城市与信息安全》《数字经济时代的智慧城市与信息安全》（第2版）《发电厂控制与管理系统信息安全》担任浙江省政协常委，浙江省科协副主席，国家信息安全标准化委员会委员，中国网络空间安全协会常务理事，中国计算机学会安全专业委员会常务委员；是国家百千万人才工程“有突出贡献中青年专家”，科技部“科技创新创业人才”，中国科学技术协会“全国优秀科技工作者”；荣获中国互联网发展基金会首届“网络安全优秀人才奖”，中华国际科学交流基金会“杰出工程师青年奖”，浙江省杰出青年，2016年度十大风云浙商，2017年“全球浙商金奖”，2019年浙江省青年数字经济“鸿鹄奖”，科技新浙商致敬十年特别奖等荣誉。 刘博，杭州安恒信息首席科学家，国家大数据态势感知国地联合研究中心副主任，之江实验室信息安全研究中心副主任。从事大数据、态势感知、数据安全、隐私计算、机器学习等领域研究工作近20年。共发表SCI科研文章20篇，国际总引用8000多次。带领团队完成300余项技术发明专利。主导和参与包括工业和信息化部、公安部、中国信息测评中心、浙江省重点技术创新项目、杭州市重大科技项目等在内的国家级、省级重大科研项目10多项。获得包括2019年世界互联网大会领先科技成果、2018—2020年连续三年工业和信息化部示范试点、2019年/2021年分别获得数博会领先科技成果等在内的60余奖项。目前主导研发的产品已服务于全球超过2500家客户，支撑了包括2010年上海世界博览会、2010年广州亚运会、历届世界互联网大会等大型会议的网络安全保障。在推动产业技术进步、促进技术成果转化等方面做出卓越成就并产生显著的经济社会效益。

本书围绕企业如何在数字化转型时代开展网络风险管理工作进行系统阐述。全书基于网络安全管理最佳实践，围绕CRMP框架展开，包含敏捷治理、风险指引体系、基于风险的战略和执行、风险升级和披露四大核心组件及23项原则。通过波音737 MAX坠机事故、Equifax数据泄露事件等典型案例，验证了框架的有效性。此外，本书还探讨了AIGC等新兴技术带来的风险，强调了企业董事会、高管层、部门经理及各职能组织的协同作用，旨在建设有利于企业网络风险管理的文化，驾驭数字化转型时代的网络风险。全书结构清晰，内容丰富，为企业提供了完整的网络风险管理参考框架和实战指南。 Brian Allen现任美国银行政策研究所（Bank Policy Institute）网络安全与技术风险管理高级副总裁，主要负责与银行高管协作，并代表行业与监管机构、立法机构、执法机关及情报部门对接，为行业发声。 Brandon Bapst是安永（EY）网络安全业务板块的顾问与风险咨询师。他与企业高管、首席安全官（CSO）及首席信息安全官（CISO）紧密合作，助力企业制订战略性网络风险计划。 Terry Allan Hicks拥有超过30年商业与科技领域的撰稿经验，其中在Gartner任职逾20年，主要聚焦金融服务、信息安全、合规监管及公司治理领域。

本书系统介绍对抗样本的基本原理，从相关的背景知识开始，包含搭建学习对抗样本的软硬件环境、常用工具，带领读者快速上手实践。本书作者在安全领域有多年实践经验，对业界常见的方法做了系统的归纳总结，包含大量案例，深入浅出，实践性强。 主要内容包括： ·对抗样本相关的深度学习背景知识，如梯度、优化器、反向传递等。 ·如何搭建学习对抗样本的软硬件环境。 ·对抗样本领域的一些常见图像处理技巧。 ·常见的白盒攻击算法与黑盒攻击算法。 ·对抗样本在目标检测领域的应用。 ·对抗样本的常见加固算法。 ·常见的对抗样本工具以及如何搭建NIPS对抗样本竞赛环境。 ·如何站在巨人的肩膀上，快速生成自己的对抗样本，进行攻防对抗 兜哥，百度安全实验室AI模型安全负责人，具有10余年安全从业经历，曾任百度基础架构安全负责人、Web安全产品线负责人。主要研究方向为对抗样本、生成对抗网络。著有AI安全畅销书籍《Web安全之机器学习入门》《Web安全之深度学习实战》《Web安全之强化学习与GAN》。著名开源AI安全工具箱AdvBox的作者，FreeBuf、雷锋网、安全客特邀专栏作家，知名安全自媒体“兜哥带你学安全”主编。

本书由国内老牌CTF战队FlappyPig撰写，战队成员曾多次荣获XCTF国际联赛冠军、TCTF/0CTF冠军、WCTF世界黑客大师挑战赛季军，多次入围Defcon全球总决赛，具有丰富的实战经验。本书围绕CTF竞赛需要的安全技术、解题方法和竞赛技巧3个维度展开，旨在通过作者扎实的技术功底和丰富的竞赛经验，引领对CTF竞赛感兴趣的读者快速入门。书中依据CTF竞赛的特点，分别从Web、Reverse、PWN、Crypto、APK、IoT这6个方面系统地对CTF竞赛的知识点、模式、技巧进行了深入讲解，每一篇都搭配历年真题，帮助读者加深理解。 全书一共分六篇。Web篇（第1~8章）主要讲解CTF比赛中Web类型题目的基础知识点与常用的工具和插件，这些知识点和工具也可以用于部分渗透测试的实战中。Reverse篇（第9~10章）主要讲解CTF中逆向分析的主要方法、常用分析工具、逆向分析技术和破解方法，帮助读者提高逆向分析能力。PWN篇（第11~17章）对PWN二进制漏洞挖掘与利用的详细分析，主要讲解了针对各种漏洞的利用方法和利用技巧，读者可以结合实例题目加深理解。Crypto篇（第18~22章）对Crypto类型题目的知识和例题讲解，主要从概述、编码、古典密码、现代密码以及真题解析几个方向阐述。APK篇（第23~25章）讲解CTF中APK的相关内容，主要从APK的基础知识点、Dalvik层的逆向分析技术，以及Native层的逆向分析技术3个方面介绍APK题目的基础内容、解题方法和竞赛技巧。IoT篇（第26~30章）对IoT类型题目的讲解，内容涉及IoT、无线通信的基础知识和相关题型的解题技巧，帮助读者培养解决IoT相关题目的能力。 FlappyPig，国内老牌知名CTF战队，曾获数十个各级CTF竞赛冠亚季军，具备国际CTF竞赛水准，具备丰富的CTF参赛经验。先后获得XCTF联赛总冠军、XNUCA总决赛冠军、CISCN冠军、TCTF/0CTF（Defcon外卡赛）冠军、WCTF世界黑客大师挑战赛季军，连续三年闯进Defcon决赛，Defcon最好成绩第10名。战队开发维护了用于CTF赛事评级的CTFRank网站。现在以r3kapig联合战队的方式参赛。 战队成员挖掘并披露漏洞获得CVE编号上百枚，向各类SRC报备漏洞数百个。战队成员在Geekpwn、天府杯、PWN2OWN等漏洞挖掘类竞赛中也取得了不错的成绩。战队主要成员目前就职于阿里巴巴、腾讯、京东等，从事网络安全、漏洞挖掘相关工作。在网络安全竞赛、漏洞挖掘、渗透测试等领域具有非常深厚的经验积累，擅长Web、应用层软件、操作系统、区块链、嵌入式等多领域的漏洞挖掘与利用。