推荐语

虽然2022年是互联网的寒冬，众多互联网及相关公司都在陆续裁人，但对网络安全人员的影响较小，企事业单位对网络攻防人才的需求仍然供不应求。网络攻防从过去的隐形战线走向明面对抗，一旦存在可以被利用的漏洞，将对企业、社会，甚至国家造成很大的安全隐患。各个层面的防护网及真实环境的攻防对抗是网络安全从业人员大显身手之地，而网络安全人才成长之路需要天赋和努力学习相结合，需要切实可行的再现路径，而安全相关书籍的学习是成长的快捷路径之一。得益于网络攻防技术研究，我才从安逸的工作体制内走出，到国内BAT公司之一阿里巴巴工作并略有成就。

我累计出版10本攻防类图书，深知图书创作的不容易，从设定大纲到每章具体内容的编写，再到后续内容勘误等，其中还涉及出版送审的各个环节，加上近年对出版内容的严格审核，出书基本也算是“九死一生”，恭喜小峰顺利通关。最初在红日安全团队就获悉小峰这边在创作《Web安全攻防从入门到精通》，我是最早接触该书的人，从最初的框架到现在的框架可以看出调整很大，更加贴近实战，更加通俗易懂，将靶场跟实际知识点结合，理论结合实际，让读者实际动手去测试和理解书中的知识点。全书共21章，从基础理论开始，逐渐展开到Web安全攻防最常见的SQL注入、XSS漏洞、CSRF漏洞、SSRF漏洞、任意文件上传、业务逻辑漏洞、未授权访问、XXE漏洞、文件下载漏洞、反序列化漏洞、重放攻击、验证码、会话固定漏洞、远程代码执行/命令执行等实战攻防，最后结合综合实战案例进行讲解，既攻击也防御，攻防一体，让初学者对网络安全有一个系统的认识。本书是小峰及红日安全团队对Web攻防实战经验的深度总结及沉淀，强烈推荐大家阅读并学习。

本书作者一直从事网络安全知识的分享，早期创办红日安全团队，在业界享有盛名，鼓励和提倡技术分享交流，是网络安全知识分享真正的践行者，预祝本书大卖。

陈小兵
阿里巴巴集团安全部高级安全专家