web安全书籍推荐

web安全问题一直是互联网的焦点问题，涉及到的web安全相关的书籍也层出不穷。今天在这里推荐几本比较好的web安全相关的书籍。

豆瓣评分：9.1

《黑客攻防技术宝典:系统实战篇(第2版)》由世界顶级安全专家亲自执笔，详细阐述了系统安全、应用程序安全、系统攻防、加密解密等安全领域的核心问题，并用大量的实例说明如何检查Windows、Linux、Solaris等流行操作系统中的安全漏洞和Oracle等数据库中的安全隐患。

豆瓣评分：8.6

《web之困：现代web应用安全指南》在web安全领域有“圣经”的美誉，在世界范围内被安全工作者和web从业人员广为称道，由来自google chrome浏览器团队的世界顶级黑客、国际一流安全专家撰写，是目前唯一深度探索现代web浏览器安全技术的专著。本书从浏览器设计的角度切入，以探讨浏览器的各主要特性和由此衍生出来的各种安全相关问题为主线，深入剖析了现代web浏览器的技术原理、安全机制和设计上的安全缺陷，为web安全工作者和开发工程师们应对各种基于浏览器的安全隐患提供了应对措施。

豆瓣评分：8.6

Web应用无处不在，安全隐患如影随形。承载着丰富功能与用途的Web应用程序中布满了各种漏洞，攻击者能够利用这些漏洞盗取用户资料，实施诈骗，破坏其他系统等。近年来，一些公司的网络系统频频遭受攻击，导致用户信息泄露，造成不良影响。因此，如何确保Web应用程序的安全，已成为摆在人们眼前亟待解决的问题。

本书是Web安全领域专家的经验结晶，系统阐述了如何针对Web应用程序展开攻击与反攻击，深入剖析了攻击时所使用的技巧、步骤和工具，条理清晰，内容详尽。第2版全面升级，涵盖了最新的攻击技巧与应对措施，此外，书中还列出了几百个“漏洞实验室”，以帮助读者对所学内容进行巩固和实战演习。

豆瓣评分：8.5

《SQL注入攻击与防御(第2版)》致力于深入探讨SQL注入问题。《SQL注入攻击与防御(第2版)》前一版荣获2009Bejtlich最佳图书奖，第2版对内容做了全面更新，融入了一些最新的研究成果，包括如何在移动设备上利用SQL注入漏洞，以及客户端SQL注入等。《SQL注入攻击与防御(第2版)》由一批SQL注入专家编写，他们对Oracle、SQLServer、MySQL和PostgreSQL数据库平台的SQL注入问题具有独到的见解。

豆瓣评分：8.5

《Web渗透技术及实战案例解析》从Web渗透的专业角度，结合网络安全中的实际案例，图文并茂地再现Web渗透的精彩过程。《Web渗透技术及实战案例解析》共分7章，由浅入深地介绍和分析了目前网络流行的Web渗透攻击方法和手段，并结合作者多年的网络安全实践经验给出了相对应的安全防范措施，对一些经典案例还给出了经验总结和技巧，通过阅读《Web渗透技术及实战案例解析》可以快速掌握目前Web渗透的主流技术。《Web渗透技术及实战案例解析》最大的特色就是实用和实战性强，思维灵活。内容主要包括Web渗透必备技术、Google黑客技术、文件上传渗透技术、SQL注入、高级渗透技术、0day攻击和Windows提权与安全防范等。

豆瓣评分：8.2

《web应用安全权威指南》系日本web安全第一人德丸浩所创，是作者从业多年的经验总结。作者首先简要介绍了web应用的安全隐患以及产生原因，然后详细介绍了web安全的基础，如http、会话管理、同源策略等。此外还重点介绍了web应用的各种安全隐患，对其产生原理及对策进行了详尽的讲解。最后对如何提高web网站的安全性和开发安全的web应用所需要的管理进行了深入的探讨。本书可操作性强，读者可以通过下载已搭建的虚拟机环境亲自体验书中的各种安全隐患。

豆瓣评分：8.2

白帽子讲Web安全》内容简介：在互联网时代，数据安全与个人隐私受到了前所未有的挑战，各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据？《白帽子讲Web安全》将带你走进Web安全的世界，让你了解Web安全的方方面面。黑客不再变得神秘，攻击技术原来我也可以会，小网站主自己也能找到正确的安全道路。大公司是怎么做安全的，为什么要选择这样的方案呢？你能在《白帽子讲Web安全》中找到答案。详细的剖析，让你不仅能“知其然”，更能“知其所以然”。

豆瓣评分：8.2

《黑客大曝光》是全球销量第一的网络和计算机信息安全图书，也是有史以来写得最为成功的信息安全旷世之作，被信息安全界奉为“武林秘笈”。作者以独创的知己知彼视角揭示了“黑客攻击的方法学”，从攻防两方面系统阐述了最常见和最隐秘的黑客入侵手段以及针锋相对的防范对策。

豆瓣评分：7.9

《Wireshark数据包分析实战(第2版)》从网络嗅探与数据包分析的基础知识开始，渐进地介绍Wireshark的基本使用方法及其数据包分析功能特性，同时还介绍了针对不同协议层与无线网络的具体实践技术与经验技巧。在此过程中，作者结合一些简单易懂的实际网络案例，图文并茂地演示使用Wireshark进行数据包分析的技术方法，使读者能够顺着本书思路逐步地掌握网络数据包嗅探与分析技能。最后，《Wireshark数据包分析实战(第2版)》使用网络管理员、IT技术支持、应用程序开发者们经常遇到的实际网络问题(包括无法正常上网、程序连接数据库错误、网速很卡，以及遭遇扫描渗透、ARP欺骗攻击等)，来讲解如何应用Wireshark数据包分析技术和技巧，快速定位故障点，并找出原因以解决实际问题。

豆瓣评分：7.8

本书是一本讲解Web应用中最常见的安全风险以及解决方案的实用教材。它以当今公认的安全权威机构OWASP（Open Web Application Security Project）制定的OWASP Top 10为蓝本，介绍了十项最严重的Web应用程序安全风险， 并利用ESAPI（Enterprise Security API）提出了解决方案。

豆瓣评分：7.6

《Web安全深度剖析》从攻到防，从原理到实战，由浅入深、循序渐进地介绍了Web 安全体系。全书分4 篇共16 章，除介绍Web 安全的基础知识外，还介绍了Web 应用程序中最常见的安全漏洞、开源程序的攻击流程与防御，并着重分析了“拖库”事件时黑客所使用的攻击手段。此外，还介绍了渗透测试工程师其他的一些检测方式。

豆瓣评分：7.6

《AJAX安全技术》是一本为专业人士提供预防Ajax安全漏洞一手实践的入门指导书。众所周知，Ajax具备变革互联网的潜力，但危险的新安全威胁同样随之而来。《AJAX安全技术》揭示Ajax框架与生俱来的安全弱点密集区域，为开发人员创造安全应用提供指导。每一章由一个Ajax安全谬误开始，随后即将其揭穿。通读《AJAX安全技术》你将看到很多用于阐述关键知识点的真实Ajax安全漏洞案例。在书中还讲到保护Ajax应用的特殊方法，包括每种主要Web编程语言（.NET、Java和PHP）及流行新语言Ruby on Rails。

豆瓣评分：7.6

Web前端的黑客攻防技术是一门非常新颖且有趣的黑客技术，主要包含Web前端安全的跨站脚本（XSS）、跨站请求伪造（CSRF）、界面操作劫持这三大类，涉及的知识点涵盖信任与信任关系、Cookie安全、Flash安全、DOM渲染、字符集、跨域、原生态攻击、高级钓鱼、蠕虫思想等，这些都是研究前端安全的人必备的知识点。本书作者深入剖析了许多经典的攻防技巧，并给出了许多独到的安全见解。

豆瓣评分：7.4

《XSS跨站脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书，总共8章，主要包括的内容如下。第1章 XSS初探，主要阐述了XSS的基础知识，包括XSS的攻击原理和危害。第2章 XSS利用方式，就当前比较流行的XSS利用方式做了深入的剖析，这些攻击往往基于客户端，从挂马、窃取Cookies、会话劫持到钓鱼欺骗，各种攻击都不容忽视。第3章 XSS测试和利用工具，介绍了一些常见的XSS测试工具。第4章 发掘XSS漏洞，着重以黑盒和白盒的角度介绍如何发掘XSS漏洞，以便帮助读者树立安全意识。

豆瓣评分：7.4

代码审计是企业安全运营以及安全从业者必备的基本技能。本书详细介绍代码审计的设计思路以及所需要的工具和方法，不仅用大量案例介绍了漏洞挖掘方法，而且在代码层和功能设计层剖析了各种安全漏洞的成因与预防策略。对应用开发人员和安全技术人员都有参考价值。

豆瓣评分：7.3

《Web安全测试》中的秘诀所覆盖的基础知识包括了从观察客户端和服务器之间的消息到使用脚本完成登录并执行Web应用功能的多阶段测试。在《Web安全测试》的最后，你将能够建立精确定位到Ajax函数的测试，以及适用于常见怀疑对象（跨站式脚本和注入攻击）的大型多级测试。

豆瓣评分：7.2

浏览器是重要的互联网入口，一旦受到漏洞攻击，将直接影响到用户的信息安全。作为攻击者有哪些攻击思路，作为用户有哪些应对手段？在《白帽子讲浏览器安全》中我们将给出解答，带你了解浏览器安全的方方面面。《白帽子讲浏览器安全》兼顾攻击者、研究者和使用者三个场景，对大部分攻击都提供了分析思路和防御方案。《白帽子讲浏览器安全》从攻击者常用技巧的“表象”深入介绍浏览器的具体实现方式，让你在知其然的情况下也知其所以然。

豆瓣评分：6.3

《Web入侵安全测试与对策》主要是为了向测试人员介绍一些用于测试Web应用程序的攻击方式，其中会包含一些恶意输入的典型例子，比如一些躲避校验和身份认证的方式，以及某些由配置、语言或结构带来的问题。但这些介绍都很简单，同时给出了如何查找和测试这些问题，以及解决这些问题的方法建议。希望《Web入侵安全测试与对策》能够成为人们在测试基于Web的应用程序方面获取信息（和灵感）的有力工具。

作者：shitboy 链接：https://juejin.cn/post/6844904165764759565 来源：稀土掘金 些躲避校验和身份认证的方式，以及某些由配置、语言或结构带来的问题。但这些介绍都很简单，同时给出了如何查找和测试这些问题，以及解决这些问题的方法建议。希望《Web入侵安全测试与对策》能够成为人们在测试基于Web的应用程序方面获取信息（和灵感）的有力工具。

作者：shitboy 链接：https://juejin.cn/post/6844904165764759565 来源：稀土掘金 著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。接下来我将给各位同学划分一张学习计划表！

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？ 既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天） ①了解行业相关背景，前景，确定发展方向。 ②学习网络安全相关法律法规。 ③网络安全运营的概念。 ④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周） ①渗透测试的流程、分类、标准 ②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking ③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察 ④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周） ①Windows系统常见功能和命令 ②Kali Linux系统常见功能和命令 ③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周） ①计算机网络基础、协议和架构 ②网络通信原理、OSI模型、数据转发流程 ③常见协议解析（HTTP、TCP/IP、ARP等） ④网络攻击技术与网络安全防御技术 ⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天） ①数据库基础 ②SQL语言基础 ③数据库安全加固

6、Web渗透（1周） ①HTML、CSS和JavaScript简介 ②OWASP Top10 ③Web漏洞扫描工具 ④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等） 那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

综合薪资区间15k~30k

7、脚本编程学习（4周） 在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习 搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。