《白帽子讲Web安全》内容简介：在互联网时代，数据安全与个人隐私受到了前所未有的挑战，各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据？《白帽子讲Web安全》将带你走进Web安全的世界，让你了解Web安全的方方面面。 黑客不再变得神秘，攻击技术原来我也可以会，小网站主自己也能找到正确的安全道路。大公司是怎么做安全的，为什么要选择这样的方案呢？你能在《白帽子讲Web安全》中找到答案。详细的剖析，让你不仅能“知其然”，更能“知其所以然”。 吴翰清，毕业于西安交通大学少年班，从2000年开始研究网络攻防技术。在大学期间创立了在中国安全圈内极具影响力的组织“幻影”。

本书对互联网基盘——HTTP协议进行了全面系统的介绍。作者由HTTP协议的发展历史娓娓道来，严谨细致地剖析了HTTP协议的结构，列举诸多常见通信场景及实战案例，最后延伸到Web安全、最新技术动向等方面。本书的特色为在讲解的同时，辅以大量生动形象的通信图例，更好地帮助读者深刻理解HTTP通信过程中客户端与服务器之间的交互情况。读者可通过本书快速了解并掌握HTTP协议的基础，前端工程师分析抓包数据，后端工程师实现REST API、实现自己的HTTP服务器等过程中所需的HTTP相关知识点本书均有介绍。 本书适合Web开发工程师，以及对HTTP协议感兴趣的各层次读者。 作者简介 上野 宣 OWASP 日本分会会长，TRICORDER株式会社董事长。 主要从事安全咨询、风险评估、信息安全教育等工作。著有《今晚我们一起学习邮件协议》（今夜わかるメールプロトコル）、《今晚我们一起学习TCP/IP》（今夜わかるTCP/IP）、《今晚我们一起学习HTTP》（今夜わかるHTTP）。担任The Tangled Web:A Guide to Securing Modern Web Application日文版的审校工作。 译者简介 于均良 上海交通大学硕士，高级软件工程师，马拉松跑者，四点网创始人。

本书是谷歌公司高性能团队核心成员的权威之作，堪称实战经验与规范解读完美结合的产物。本书目标是涵盖Web 开发者技术体系中应该掌握的所有网络及性能优化知识。全书以性能优化为主线，从TCP、UDP 和TLS 协议讲起，解释了如何针对这几种协议和基础设施来优化应用。然后深入探讨了无线和移动网络的工作机制。最后，揭示了HTTP 协议的底层细节，同时详细介绍了HTTP 2.0、 XHR、SSE、WebSocket、WebRTC 和DataChannel 等现代浏览器新增的具有革命性的新能力。 本书适合所有Web 应用及站点开发人员阅读，包括但不限于前端、后端、运维、大数据分析、UI/UX、存储、视频、实时消息，以及性能工程师。 Ilya Grigorik 是谷歌“Web加速”（Make The Web Fast）团队的性能工程师、开发大使。他每天的主要工作就是琢磨怎么让Web应用速度更快，总结并推广能够提升应用性能的最佳实践。 作者简介： Ilya Grigorik 是谷歌“Web加速”（Make The Web Fast）团队的性能工程师、开发大使。他每天的主要工作就是琢磨怎么让Web应用速度更快，总结并推广能够提升应用性能的最佳实践。 在专注于研究Web性能之前，Ilya创办了PostRank公司并担任CTO，这是一家社交分析公司。他的这家公司被谷歌收购后，成为了Google Analytics中社交分析报告模块的核心。除了研究Web性能和分析，Ilya还会为开源项目做做贡献、看看书，或者写一些好玩的项目，比如VimGolf、GitHub Archive等。 译者简介： 李松峰 2006年起投身翻译，出版过译著30余部，包括《JavaScript高级程序设计》、《简约至上》等畅销书。2008年进入出版业，从事技术图书编辑和审稿工作。 2007年创立知识分享网站“为之漫笔”（cn-cuckoo.com），翻译了大量国外经典技术文章。2012年下半年创立“A List Apart中文版”站点（alistapart.cn），旨在向中文读者译介这一国际顶级Web设计与开发杂志。他经常参加技术社区活动，曾在W3ctech 2012 Mobile上分享“Dive into Responsive Web Design”。2013年1月应邀在金山网络分享“响应式Web设计”，2013年3月应邀在奇虎360分享“JS的国”。

本书详细介绍了计算机网络硬件的相关知识，在对硬件设备、相关技术及规范进行详尽考据和整理的同时，侧重工程实践，重点讲述了在实际网络建设工程中真实使用的网络硬件设备及其相关背景知识，能够帮助读者深入理解计算机网络在工程实践中某些容易混淆的概念，如L3交换机和路由器等。 本书在讲解的同时，还辅以丰富的图例，使计算机网络设备的真实情况一目了然，同时深入浅出地介绍了原本复杂抽象的计算机网络术语，因此对于学习了计算机网络，想了解计算机网络设备真实情况的读者来说是不可或缺的参考资料，也可作为大学课程《计算机网络》的扩展读物。另外，本书介绍了大量非思科设备和数据通信领域的相关知识，因此对于学习CCNA、CCIE等的读者和从事相关工作的工程技术人员而言，也非常具有参考价值。 作者简介： 三轮贤一 硅谷网络设备公司日本分部资深系统工程师，主要向运营商、企业等机构提供网络硬件设备的咨询、组网架构、运营支持。著有《简单的计算机网络入门》《深入学习TCP/IP网络》等。 译者简介： 盛荣 曾就职于阿尔卡特朗讯、爱立信等公司，多年从事网络设备相关软件的开发与测试，热爱脚本语言与自动化测试。

本书由国内老牌CTF战队FlappyPig撰写，战队成员曾多次荣获XCTF国际联赛冠军、TCTF/0CTF冠军、WCTF世界黑客大师挑战赛季军，多次入围Defcon全球总决赛，具有丰富的实战经验。本书围绕CTF竞赛需要的安全技术、解题方法和竞赛技巧3个维度展开，旨在通过作者扎实的技术功底和丰富的竞赛经验，引领对CTF竞赛感兴趣的读者快速入门。书中依据CTF竞赛的特点，分别从Web、Reverse、PWN、Crypto、APK、IoT这6个方面系统地对CTF竞赛的知识点、模式、技巧进行了深入讲解，每一篇都搭配历年真题，帮助读者加深理解。 全书一共分六篇。Web篇（第1~8章）主要讲解CTF比赛中Web类型题目的基础知识点与常用的工具和插件，这些知识点和工具也可以用于部分渗透测试的实战中。Reverse篇（第9~10章）主要讲解CTF中逆向分析的主要方法、常用分析工具、逆向分析技术和破解方法，帮助读者提高逆向分析能力。PWN篇（第11~17章）对PWN二进制漏洞挖掘与利用的详细分析，主要讲解了针对各种漏洞的利用方法和利用技巧，读者可以结合实例题目加深理解。Crypto篇（第18~22章）对Crypto类型题目的知识和例题讲解，主要从概述、编码、古典密码、现代密码以及真题解析几个方向阐述。APK篇（第23~25章）讲解CTF中APK的相关内容，主要从APK的基础知识点、Dalvik层的逆向分析技术，以及Native层的逆向分析技术3个方面介绍APK题目的基础内容、解题方法和竞赛技巧。IoT篇（第26~30章）对IoT类型题目的讲解，内容涉及IoT、无线通信的基础知识和相关题型的解题技巧，帮助读者培养解决IoT相关题目的能力。 FlappyPig，国内老牌知名CTF战队，曾获数十个各级CTF竞赛冠亚季军，具备国际CTF竞赛水准，具备丰富的CTF参赛经验。先后获得XCTF联赛总冠军、XNUCA总决赛冠军、CISCN冠军、TCTF/0CTF（Defcon外卡赛）冠军、WCTF世界黑客大师挑战赛季军，连续三年闯进Defcon决赛，Defcon最好成绩第10名。战队开发维护了用于CTF赛事评级的CTFRank网站。现在以r3kapig联合战队的方式参赛。 战队成员挖掘并披露漏洞获得CVE编号上百枚，向各类SRC报备漏洞数百个。战队成员在Geekpwn、天府杯、PWN2OWN等漏洞挖掘类竞赛中也取得了不错的成绩。战队主要成员目前就职于阿里巴巴、腾讯、京东等，从事网络安全、漏洞挖掘相关工作。在网络安全竞赛、漏洞挖掘、渗透测试等领域具有非常深厚的经验积累，擅长Web、应用层软件、操作系统、区块链、嵌入式等多领域的漏洞挖掘与利用。

你无须改变太多，也能活出精彩一生。 这是保罗给我们的心理安抚，同时他也用自己在世俗意义上的成功，明白地告诉我们这件事在现实世界的可行性。这是我们可以从阅读这本书的过程中得到的重要启示之一。而从内容层面来看，在这本充满了洞见的书里，保罗以黑客之眼和画家之心，为我们揭示了这个世界为何拥有今日之面貌，并预言了它的未来。在保罗眼里，黑客是创作者，是互联网之子，拥有一颗不安分的心，虽然经常被视为书呆子，却以自己的努力，为互联网新世界奠基。毫无疑问，我们生活于其中的世界，已经且必将继续被黑客深刻地改变，因此，了解黑客，我们也会更了解这个世界。 在本书中，作者和我们谈论了与黑客有关的三个方面：第一，黑客如何成长及看待世界；第二，黑客如何工作及影响世界；第三，黑客的工具和工作方法。事实上，在全部15篇文章中，保罗所探讨的内容远远超出了黑客所关注的内容，并以幽默的笔触，在最广泛的可能性上展现了他对于人人关心且受其影响的重大议题的思考。不管是创造财富，还是如何设计出好产品，抑或如何在充满了异见的世界里自洽地活着。可以说，不管我们处在人生的什么阶段，都将从阅读本书的过程中得到启示。 保罗·格雷厄姆（Paul Graham），“撼动硅谷的人”（《福布斯》杂志语）。美国知名程序员、Lisp专家，是首个互联网应用程序Viaweb的发明人之一，该程序后被雅虎以5000万美元收购，成了大名鼎鼎的Yahoo！Store。风险投资家，2005年创办了Y Combinator，成功孵化数千个初创项目和近万名创始人，总估值近万亿美元。拥有哈佛大学应用科学（计算机方向）博士学位，并在罗德岛设计学院和佛罗伦萨绘画艺术学院学习过绘画。 译者：阮一峰，IT技术作家，长期写作个人技术博客，曾任阿里巴巴集团软件工程师。著有《前方的路》《未来世界的幸存者》。

本书系统性地介绍数据安全架构的设计与实践，融入了作者在安全领域多年积累的实践经验。全书分四大部分，共20章。第一部分介绍安全架构的基础知识，内容包括安全、数据安全、安全架构、5A方法论、CIA等基本概念,为后续论述奠定基础。第二部分介绍产品安全架构，内容包括：身份认证、授权、访问控制、审计、资产保护等，讲解如何从源头设计来保障数据安全和隐私安全，防患于未然。第三部分介绍安全技术体系架构，内容包括：安全技术架构、网络和通信层安全架构、设备和主机层安全架构、应用和数据层安全架构、安全架构案例分析等。第四部分介绍数据安全与隐私保护治理，内容包括：数据安全治理、数据安全政策文件体系、隐私保护基础与增强技术、GRC方案、数据安全与隐私保护的统一等。 郑云文（U2），某世界500强企业的数据安全与隐私保护专家，开源应用网关Janusec Application Gateway（https://github.com/Janusec/janusec）作者。武汉大学研究生毕业，投身安全领域研究超过17年，在安全架构、安全治理、数据安全与隐私保护方面具有丰富的经验。曾任CSA（云安全联盟）技术标准专家，参与云计算安全技术标准的起草。曾在迅雷公司任安全专家及安全负责人，曾在腾讯公司任数据安全高级架构师，是数据安全合规标准的主要制定者。

你的密码可以被轻易破解？ 除了你，还有谁在读你的电子邮件？ 你的手机就是一个窃听器？ 勒索病毒是如何一步步诱惑你落入陷阱的？ 你是否意识到了隐私的重要性？在你不知情的情况下发生了什么？ …… 你的每一次鼠标点击、浏览的每一个网站，都有人看在眼里。 人脸识别、无人机、智能联网汽车、社交网络……都在泄露你的隐私。 你可以跑，却无处躲藏！ 本书将为你揭示关于数据时代的真相，那就是：每个人的隐私都处在被泄漏的危险边缘。作者凯文·米特尼克和罗伯特·瓦摩西首先从个人角度出发，科普每个人都应该掌握的隐私安全之道；并运用生活中真实的故事和生动的案例，描绘出与隐私最为相关的6大未来场景，教你如何掌握隐身的艺术。 凯文·米特尼克（Kevin Mitnick），1963年8月6日出生于美国洛杉矶，是第一个被美国联邦调查局通缉的黑客，有评论称他为世界“头号电脑黑客”“地狱黑客”。曾凭借高超的黑客技术入侵北美空中防护指挥系统、美国太平洋电话公司系统，甚至入侵了联邦调查局的网络系统。现为网络安全咨询师，创立米特尼克安全咨询公司（Mitnick Security Consulting LLC），其客户包括数十位来自《财富》500强企业和全球许多国家的重要人士。《时代周刊》封面人物，畅销书《反欺骗的艺术》《反入侵的艺术》作者，好莱坞电影《战争游戏》《骇客追缉令》角色原型。 罗伯特·瓦摩西（Robert Vamosi），信息安全专家，新思科技（Synopsys）安全战略官。

《网络扫描技术揭秘:原理、实践与扫描器的实现》系统地介绍网络扫描器的概念、原理与设计方法，饱含作者十几年来在网络技术应用实践中不断总结的经验与技巧。作者从网络协议这样的基本概念开始，细致深入地分析了网络扫描器的原理，并用自己制作的大量工程代码，揭示了网络扫描器的实现方法与最佳实践。 《网络扫描技术揭秘:原理、实践与扫描器的实现》首先介绍了网络扫描技术的概念、原理、算法等，以及网络协议的意义与编程概述，随后系统分析了各种扫描器的原理与设计方法，包括TCP/UDP端口、NetBIOS、SNMP、ICMP、基于协议的服务、基于应用的服务、命名管道、服务发现、漏洞扫描器等。书中在介绍每一种扫描器的时候，都是先介绍相应协议，然后对扫描器中要使用的API函数进行详细说明，使读者知道该扫描器的各种技术细节；还介绍了Windows中相关协议程序的安装、配置、测试和验证等，使读者有了演习场地；最后展示了扫描器的编程实例。这种循序渐进、逐步深入的方式，使读者不仅全面地了解扫描器的细节，而且在遇到新情况时，能举一反三，对代码进行修改或调整。随书光盘还包含了作者精心制作与调试好的工程代码，可帮助读者快速上手，设计出自己需要的扫描器。 《网络扫描技术揭秘:原理、实践与扫描器的实现》不仅是网管员和安全技术人员必备参考书，也适合于所有想深入理解计算机网络原理、全面了解网络扫描技术的学生、教师以及安全技术爱好者。 李瑞民 工学博士，资深网络安全专家兼高级系统架构师，多年来一直专注于计算机安全技术、网络设备与信号监控等领域的研究与应用。对网络扫描技术以及串口监控、网口监控等设备类监控技术有深刻的认识，并在实践中总结出了串口通信中的嗅探技术以及通用串口协议语法。曾参与多个网络应用软件项目的研发，涉及网络安全、广播电视、通信等多个行业。曾发表论文二十余篇，拥有专利和著作权六项。此外，还积极倡导和推动开源事业，将自己精心编写的扫描器代码全部开源，旨在推动我国软件事业的发展。

零信任是近年来安全领域的热门话题，已经在多个行业进入落地阶段。对于零信任，从哪些场景入手，如何有条不紊地建设，如何安全稳定地过渡，建成后如何使用、运营，都是我们需要面对的重要挑战。本书对这些问题进行探讨，并总结实践中的经验，为企业网络的实际建设规划提供参考。 本书主要介绍了零信任的历史、现状、架构和组件，总结了零信任应对各类安全威胁的防御手段，并给出了零信任在十种应用场景下的架构及其特色。通过几个典型案例的落地效果和实施经验，介绍了如何根据实际情况规划、建设零信任网络，如何使用零信任进行整体安全运营。 本书适合网络安全行业从业人员、企业技术人员以及对网络安全感兴趣的人员阅读。 冀托，毕业于北京大学，曾就职于奇安信集团，担任零信任安全产品的产品总监。2018年开始研究、实践零信任架构，设计了国内最早的SDP产品，并成功入选《Gartner零信任网络访问市场指南》。随后多年时间，一直奋斗在零信任领域的最前沿，参与过几十个大型零信任项目的建设，是行业知名的零信任专家。