¥167.84 238.00

编辑推荐

---------------------------8083976 - Web代码安全漏洞深度剖析---------------------------

一线网络安全工程师多年实战经验结晶，多位网络安全专家联袂推荐
从环境建设、实战剖析、业务安全三个维度，通过典型案例由浅入深、全面介绍代码审计技术

---------------------------8079922 - 网络安全与攻防策略：现代威胁应对之道（原书第2版）---------------------------

Azure安全中心高级项目经理 & 2019年网络安全影响力人物荣誉获得者联袂撰写，美亚畅销书全新升级。
涵盖新的安全威胁和防御战略，介绍进行威胁猎杀和处理系统漏洞所需的技术和技能集。

内容简介

书籍
计算机书籍



---------------------------8083976 - Web代码安全漏洞深度剖析---------------------------


本书系统化介绍代码审计的步骤和业务漏洞分析，总结了作者在信息安全领域多年的实践经验，内容丰富，实践性强。本书分三大部分，共14章。“准备工作”部分介绍漏洞剖析环境搭建和辅助工具简单使用，为后续分析打下基础。“常规应用漏洞分析”部分介绍了几种漏洞的基本概念和实例解剖，如SQL注入、XSS跨站、CSRF/XSRF、文件类型、代码执行与命令执行等漏洞，并介绍了代码审计的思路和步骤。“业务安全漏洞分析”部分通过实例介绍了业务安全中的典型漏洞，如短信验证码、会话验证、密码找回、支付、越权等漏洞，并针对漏洞给出了防御措施。


---------------------------8079922 - 网络安全与攻防策略：现代威胁应对之道（原书第2版）---------------------------


本书是上一版畅销书的全新修订版，涵盖了新的安全威胁和防御机制，包括云安全态势管理的概述和对当前威胁形势的评估，另外还重点介绍了新的物联网威胁和加密相关内容。为保持应对外部威胁的安全态势并设计强大的网络安全计划，组织需要了解网络安全的基本知识。本书将介绍在侦察和追踪用户身份方面使用新技术实施网络安全的实践经验，这将使你能够发现系统是如何受到危害的。本书也重点介绍了强化系统安全性的防御策略。你将了解包括Azure Sentinel在内的深度工具以确保在每个网络层中都有安全控制，以及如何执行受损系统的恢复过程。

作译者

---------------------------8079922 - 网络安全与攻防策略：现代威胁应对之道（原书第2版）---------------------------

关于我们
客户服务
友情链接

目录

[套装书具体书目]
8079922 - 网络安全与攻防策略：现代威胁应对之道（原书第2版） - 9787111679257 - 机械工业出版社 - 定价 139
8083976 - Web代码安全漏洞深度剖析 - 9787111690252 - 机械工业出版社 - 定价 99



---------------------------8083976 - Web代码安全漏洞深度剖析---------------------------


本书赞誉
序言
前言
致谢
第一部分准备工作
第1章搭建代码审计环境2
1.1基于Windows搭建phpStudy2
1.2基于Linux搭建phpStudy4
1.3在Linux下利用Docker搭建PHP环境6
1.4phpStorm远程连接Docker容器14
1.5小结20

第2章辅助工具21
2.1代码调试工具phpStorm+Xdebug21
2.2火狐浏览器56.0的HackBar和FoxyProxy 26
2.3抓包工具Burp Suite34
2.4小结47
第3章了解目标48
3.1代码审计的思路与流程48
3.2漏洞分析前的准备工作52
3.3php.ini配置53
3.4小结55
第二部分常规应用漏洞分析
第4章SQL注入漏洞及防御58
4.1SQL注入的原理及审计思路58
4.2GET型SQL注入防御脚本绕过案例剖析60
4.3Joomla 注入案例分析67
4.4SQL 存储显现insert注入案例分析72
4.5小结81
第5章跨站脚本攻击及防御82
5.1XSS简介82
5.2反射型XSS三次URL编码案例分析88
5.3存储型XSS案例分析95
5.4DOM型 XSS案例分析103
5.5小结107
第6章跨站请求伪造漏洞及防御109
6.1CSRF原理109
6.2GET型CSRF案例分析112
6.3POST型CSRF分析117
6.4小结121
第7章文件类型漏洞及防御122
7.1文件上传漏洞122
7.2文件上传漏洞案例剖析124
7.3文件下载漏洞134
7.4文件下载漏洞实际案例剖析134
7.5文件删除漏洞137
7.6文件删除漏洞实际案例剖析137
7.7文件包含漏洞140
7.8本地文件包含日志漏洞案例剖析145
7.9本地前台图片上传包含漏洞案例剖析153
7.10远程文件包含漏洞案例剖析156
7.11小结159
第8章代码执行漏洞与命令执行漏洞160
8.1代码执行漏洞的原理160
8.2代码执行案例剖析165
8.3反序列化代码执行案例剖析169
8.4命令执行漏洞178
8.5命令执行漏洞案例分析182
8.6小结186
第9章常规应用漏洞的其他类型187
9.1XXE漏洞187
9.2XXE漏洞案例剖析190
9.3URL 跳转漏洞193
9.4URL跳转漏洞案例剖析194
9.5SSRF漏洞198
9.6SSRF漏洞案例剖析201
9.7PHP 变量覆盖漏洞203
9.8变量覆盖漏洞案例剖析210
9.9小结215
第三部分业务安全漏洞分析
第10章短信验证码漏洞及防御218
10.1短信验证码业务的安全问题及防御思路218
10.2短信验证码漏洞案例剖析220
10.3小结228
第11章会话验证漏洞及防御229
11.1会话验证的过程229
11.2Cookie 认证会话漏洞案例剖析230
11.3Session身份认证漏洞案例剖析234
11.4小结239
第12章密码找回漏洞及防御240
12.1简介240
12.2密码找回漏洞案例剖析241
12.3小结246
第13章支付漏洞及防御247
13.1简介247
13.2支付漏洞案例剖析248
13.3小结253
第14章越权漏洞及防御254
14.1简介254
14.2平行越权案例剖析255
14.3垂直越权案例剖析259
14.4小结263



---------------------------8079922 - 网络安全与攻防策略：现代威胁应对之道（原书第2版）---------------------------


译者序
前言
作者简介
审校者简介
第1章安全态势 1
1.1当前的威胁形势 1
1.2凭据：身份验证和授权 3
1.3应用程序 4
1.4网络安全挑战 6
1.4.1旧技术和更广泛的结果 6
1.4.2威胁形势的转变 7
1.5增强安全态势 8
1.6红队与蓝队 10
1.7小结 12
1.8参考文献 13
第2章事件响应流程 15
2.1事件响应流程的创建 15
2.1.1实施事件响应流程的原因 15
2.1.2创建事件响应流程 17
2.1.3事件响应小组 19
2.1.4事件生命周期 19
2.2处理事件 20
2.3事后活动 22
2.3.1真实场景 22
2.3.2经验教训 23
2.4云中的事件响应 24
2.4.1更新事件响应流程以涵盖云 24
2.4.2合适的工具集 24
2.4.3从云解决方案提供商视角看事件响应流程 25
2.5小结 25
2.6参考文献 26
第3章什么是网络战略 27
3.1引言 27
3.2为什么需要建立网络战略 27
3.3如何构建网络战略 29
3.3.1了解业务 29
3.3.2了解威胁和风险 29
3.3.3文档 29
3.4最佳网络攻击战略（红队） 30
3.4.1外部测试战略 30
3.4.2内部测试战略 30
3.4.3盲测战略 31
3.4.4定向测试战略 31
3.5最佳网络防御战略（蓝队） 31
3.5.1深度防御 31
3.5.2广度防御 33
3.6小结 33
3.7延伸阅读 33
第4章了解网络安全杀伤链 35
4.1网络杀伤链简介 35
4.2侦察 36
4.3武器化 37
4.4权限提升 37
4.4.1垂直权限提升 38
4.4.2水平权限提升 38
4.5渗出 39
4.5.1维持 41
4.5.2袭击 42
4.5.3混淆 43
4.6威胁生命周期管理 45
4.6.1数据收集阶段 46
4.6.2发现阶段 46
4.6.3鉴定阶段 47
4.6.4调查阶段 47
4.6.5消除阶段 47
4.6.6恢复阶段 47
4.6.7共享文件 48
4.7网络杀伤链阶段使用的工具 48
4.7.1Nmap 48
4.7.2Zenmap 49
4.7.3Metasploit 49
4.7.4John the Ripper 50
4.7.5Hydra 51
4.7.6Wireshark 52
4.7.7Aircrack-ng 53
4.7.8Nikto 54
4.7.9Kismet 55
4.7.10Airgeddon 56
4.7.11Deauther Board 56
4.7.12EvilOSX 57
4.8网络安全杀伤链小结 58
4.9实验：通过Evil Twin攻击针对无线网络实施实验室攻击 59
4.9.1实验场景 59
4.9.2步骤1：确保拥有“模拟攻击”所需的所有硬件和软件 59
4.9.3步骤2：在Kali上安装Airgeddon 60
4.9.4步骤3：配置Airgeddon 61
4.9.5步骤4：选择目标 62
4.9.6步骤5：收集握手信息 63
4.9.7步骤6：设置钓鱼页面 66
4.9.8步骤7：捕获网络凭据 67
4.10实验小结 67
4.11参考文献 67
4.12延伸阅读 69
第5章侦察 70
5.1外部侦察 71
5.1.1Webshag 71
5.1.2PhoneInfoga 73
5.1.3电子邮件收集器TheHarvester 74
5.2Web浏览器枚举工具 75
5.2.1渗透测试套件 75
5.2.2Netcraft 75
5.2.3垃圾箱潜水 76
5.2.4社交媒体 77
5.2.5社会工程学 78
5.3内部侦察 87
5.3.1Airgraph-ng 87
5.3.2嗅探和扫描 88
5.3.3战争驾驶 95
5.3.4Hak5 Plunder Bug 96
5.3.5CATT 97
5.3.6Canary令牌链接 98
5.4小结 99
5.5实验：谷歌黑客 99
5.5.1第1部分：查找个人信息 99
5.5.2第2部分：查找服务器 106
5.6参考文献 108
第6章危害系统 110
6.1当前趋势分析 111
6.1.1勒索攻击 111
6.1.2数据篡改攻击 113
6.1.3物联网设备攻击 114
6.1.4后门 114
6.1.5移动设备攻击 115
6.1.6入侵日常设备 116
6.1.7攻击云 117
6.1.8云攻击的诱惑 118
6.1.9CloudTracker 123
6.1.10云安全建议 123
6.2网络钓鱼 124
6.3漏洞利用攻击 126
6.4零日漏洞 127
6.4.1WhatsApp漏洞（CVE-2019-3568） 128
6.4.2Chrome零日漏洞（CVE-2019-5786） 129
6.4.3Windows 10权限提升 129
6.4.4Windows权限提升漏洞（CVE-2019-1132） 129
6.4.5模糊测试 129
6.4.6源代码分析 130
6.4.7零日漏洞利用的类型 131
6.5危害系统的执行步骤 132
6.5.1安装使用漏洞扫描器 133
6.5.2使用Metasploit部署载荷 134
6.5.3危害操作系统 135
6.5.4危害远程系统 139
6.5.5危害基于Web的系统 140
6.6移动电话（iOS/Android攻击） 145
6.6.1Exodus 146
6.6.2SensorID 147
6.6.3Cellebrite攻击iPhone 148
6.6.4盘中人 148
6.6.5Spearphone（Android上的扬声器数据采集） 149
6.6.6Tap n Ghost 149
6.6.7适用于移动设备的红蓝队工具 149
6.7实验1：在Windows中构建红队PC 152
6.8实验2：合法入侵网站 156
6.8.1bWAPP 157
6.8.2HackThis ！！ 157
6.8.3OWASP Juice Shop项目 157
6.8.4Try2Hack 157
6.8.5Google Gruyere 157
6.8.6易受攻击的Web应用程序 158
6.9小结 159
6.10参考文献 160
6.11延伸阅读 161
第7章追踪用户身份 162
7.1身份是新的边界 162
7.2危害用户身份的策略 164
7.2.1获取网络访问权限 165
7.2.2获取凭据 166
7.2.3入侵用户身份 167
7.2.4暴力攻击 167
7.2.5社会工程学 169
7.2.6散列传递 174
7.2.7通过移动设备窃取身份信息 176
7.2.8入侵身份的其他方法 176
7.3小结 176
7.4参考文献 177
第8章横向移动 178
8.1渗出 178
8.2网络测绘 179
8.3规避告警 180
8.4执行横向移动 181
8.4.1像黑客一样思考 183
8.4.2端口扫描 183
8.4.3Sysinternals 184
8.4.4文件共享 186
8.4.5Windows DCOM 187
8.4.6远程桌面 188
8.4.7PowerShell 190
8.4.8 Windows管理规范 191
8.4.9计划任务 192
8.4.10令牌窃取 193
8.4.11被盗凭据 193
8.4.12可移动介质 194
8.4.13受污染的共享内容 194
8.4.14远程注册表 194
8.4.15TeamViewer 194
8.4.16应用程序部署 195
8.4.17网络嗅探 195
8.4.18ARP欺骗 195
8.4.19AppleScript和IPC（OS X） 196
8.4.20受害主机分析 196
8.4.21 中央管理员控制台 197
8.4.22电子邮件掠夺 197
8.4.23活动目录 197
8.4.24管理共享 199
8.4.25票据传递 199
8.4.26散列传递 199
8.4.27Winlogon 201
8.4.28Lsass.exe进程 201
8.5实验：在没有反病毒措施的情况下搜寻恶意软件 203
8.6小结 213
8.7参考文献 214
8.8延伸阅读 214
第9章权限提升 215
9.1渗透 215
9.1.1水平权限提升 216
9.1.2垂直权限提升 217
9.2规避告警 217
9.3执行权限提升 218
9.3.1利用漏洞攻击未打补丁的操作系统 220
9.3.2访问令牌操控 221
9.3.3利用辅助功能 222
9.3.4应用程序垫片 223
9.3.5绕过用户账户控制 226
9.3.6DLL注入 228
9.3.7DLL搜索顺序劫持 228
9.3.8dylib劫持 229
9.3.9漏洞探索 230
9.3.10 启动守护进程 231
9.4Windows目标上权限提升示例 231
9.5权限提升技术 233
9.5.1转储SAM文件 233
9.5.2root安卓 234
9.5.3使用/etc/passwd文件 235
9.5.4额外的窗口内存注入 236
9.5.5挂钩 236
9.5.6新服务 237
9.5.7计划任务 237
9.6Windows引导顺序 237
9.6.1启动项 237
9.6.2sudo缓存 244
9.7结论和教训 245
9.8小结 246
9.9实验 1 246
9.10实验 2 252
9.10.1第1部分：从LSASS获取密码 252
9.10.2第2部分：用PowerSploit转储散列 256
9.11实验 3：HackTheBox 259
9.12参考文献 264
第10章安全策略 266
10.1安全策略检查 266
10.2用户教育 267
10.2.1用户社交媒体安全指南 268
10.2.2安全意识培训 269
10.3策略实施 269
10.3.1应用程序白名单 271
10.3.2安全加固 273
10.4合规性监控 276
10.5通过安全策略持续推动安全态势增强 279
10.6小结 280
10.7延伸阅读 281
第11章网络分段 282
11.1深度防御方法 282
11.1.1基础设施和服务 283
11.1.2传输中的文档 284
11.1.3端点 284
11.2物理网络分段 285
11.3远程网络的访问安全 288
11.4虚拟网络分段 290
11.5零信任网络 292
11.6混合云网络安全 293
11.7小结 297
11.8延伸阅读 298
第12章主动传感器 299
12.1检测能力 299
12.2入侵检测系统 302
12.3入侵防御系统 304
12.3.1基于规则的检测 304
12.3.2基于异常的检测 305
12.4内部行为分析 305
12.5混合云中的行为分析 308
12.5.1Azure Security Center 308
12.5.2PaaS工作负载分析 311
12.6小结 313
12.7延伸阅读 313
第13章威胁情报 314
13.1威胁情报简介 314
13.2用于威胁情报的开源工具 317
13.3微软威胁情报 323
13.4利用威胁情报调查可疑活动 324
13.5小结 326
13.6延伸阅读 327
第14章事件调查 328
14.1确定问题范围 328
14.2调查内部失陷系统 332
14.3调查混合云中的失陷系统 335
14.4主动调查（威胁猎杀） 342
14.5经验教训 344
14.6小结 344
14.7延伸阅读 344
第15章恢复过程 345
15.1灾难恢复计划 345
15.1.1灾难恢复计划流程 346
15.1.2挑战 349
15.2应急计划 349
15.2.1开发应急计划策略 350
15.2.2进行业务影响分析 350
15.2.3确定预防性控制 351
15.2.4业务连续性与灾难恢复 352
15.2.5制定恢复策略 353
15.3现场恢复 355
15.3.1维护计划 356
15.3.2现场网络事件恢复示例 356
15.3.3风险管理工具 357
15.4恢复计划最佳实践 359
15.5灾难恢复最佳实践 359
15.5.1内部部署 359
15.5.2云上部署 359
15.5.3混合部署 360
15.5.4关于网络弹性的建议 360
15.6小结 361
15.7灾难恢复计划资源 362
15.8参考文献 362
15.9延伸阅读 363
第16章漏洞管理 364
16.1创建漏洞管理策略 364
16.1.1资产盘点 365
16.1.2信息管理 365
16.1.3风险评估 366
16.1.4漏洞评估 369
16.1.5报告和补救跟踪 370
16.1.6响应计划 371
16.2漏洞管理工具 372
16.2.1资产盘点工具 372
16.2.2信息管理工具 374
16.2.3风险评估工具 374
16.2.4漏洞评估工具 375
16.2.5报告和补救跟踪工具 375
16.2.6响应计划工具 376
16.3实施漏洞管理 376
16.4漏洞管理最佳实践 377
16.5漏洞管理工具示例 379
16.5.1Intruder 379
16.5.2Patch Manager Plus 380
16.5.3InsightVM 380
16.5.4Azure Threat & Vulnerability Management 381
16.6使用Nessus实施漏洞管理 382
16.6.1OpenVAS 388
16.6.2Qualys 388
16.6.3Acunetix 390
16.7实验 390
16.7.1实验1：使用Acunetix执行在线漏洞扫描 390
16.7.2实验2：使用GFI LanGuard进行网络安全扫描 397
16.8小结 401
16.9参考文献 401
第17章日志分析 403
17.1数据关联 403
17.2操作系统日志 404
17.2.1Windows日志 404
17.2.2Linux日志 407
17.3防火墙日志 408
17.4Web服务器日志 409
17.5Amazon Web Services日志 410
17.6Azure Activity日志 413
17.7小结 416
17.8延伸阅读 416

前言

---------------------------8083976 - Web代码安全漏洞深度剖析---------------------------

网络安全是国家战略安全的一部分，网络空间的博弈对抗，实质上是人与人之间的对抗。网络安全人才是实施国家战略安全的核心力量之一，培养网络安全从业者的实战对抗能力，是落实国家安全战略、确保各行各业网络信息系统安全的基础。《道德经》中提及“知其白，守其黑，为天下式”，对应到网络安全人才成长路线，就是要从了解攻击模式、掌握安全漏
洞分析和利用方法开始，制定有效的安全策略，分析可能的安全漏洞，设计安全的程序。
从互联网发展开始到如今，PHP编程语言及基于该语言实现的各类网络信息系统占据了Web应用的半壁江山。历史上，由于缺乏安全编码规范、PHP代码安全分析与审计的工具和方法普及不足等，一度出现了PHP漏洞盛行的不良局面。在此背景下，行业内出现了大量自发学习、研究、运用PHP漏洞分析与代码审计的爱好者，国内CTF类比赛也将这一方向作为重要的考察内容。但是由于缺少相关的系统性学习资料，网文、博客等也多以理论性介绍为主，很多初学者在学习、实践中无从下手。
笔者有幸在该领域躬耕多年，积累了丰富的PHP代码漏洞分析、安全审计实战经验。合作作者李家辉、孔韬循是笔者多年的朋友，在这一领域也颇有建树。在他们的鼓励和帮助下，我们成立了编写组，针对当前PHP代码安全分析领域的特点和需求，结合编写组同人的经历和经验，制订了详细的编写计划，精心设计实验用例并逐一验证测试，进而形成本书的雏形。
在写作过程中，我们发现从不同的思维角度能更清楚地描述网络安全技术。于是，我们邀请广州大学专职教师王乐老师加入编写组，将“实战化教学与思辨能力培养”的教学理念融入本书的设计和编写中，我们齐心合力，经过多轮的修改迭代，最终成稿。
本书可以作为PHP代码安全分析初学者的实验指导书，也可以作为Web安全研究者的参考手册。由于信息技术发展迅速，网络安全对抗与博弈技术瞬息万变，本书的各位作者虽然尽了全力，但难保完美无缺。如果读者发现关于本书的任何问题、不足或建议，请反馈给作者，以期改进！你可以通过QQ交流群（874215647）或者添加作者微信（曹玉杰（xiaoh-660）、李家辉（LJ_Seeu）、孔韬循（Pox-K0r4dji））与我们联系。
曹玉杰
2021年春

---------------------------8079922 - 网络安全与攻防策略：现代威胁应对之道（原书第2版）---------------------------

在网络安全威胁形势不断变化的情况下，拥有强大的安全态势变得势在必行，这实际上意味着加强防护、检测和响应。通过本书，你将了解有关攻击方法和模式的知识，以便利用蓝队战术识别组织内的异常行为。你还将学习收集漏洞利用情报、识别风险及展示对红队和蓝队战略的影响的技巧。

.读者对象
IT安全领域的IT专业人员、IT渗透测试人员和安全顾问。具备渗透测试的知识有助于阅读本书。
涵盖内容
第1章定义了安全态势组成以及它如何帮助理解拥有良好攻防战略的重要性。
第2章介绍了事件响应流程以及建立事件响应流程的重要性，并阐述了处理事件响应的不同行业标准和最佳实践。
第3章解释了网络战略是什么，为什么需要它，以及企业如何构建有效的网络战略。
第4章介绍了攻击者的思维、攻击的不同阶段，以及在每个阶段通常会发生什么。
第5章讲述了执行侦察的不同策略，以及如何收集数据以获得有关目标的信息以便规划攻击。
第6章阐明了危害系统策略的当前趋势，并解释了如何危害一个系统。
第7章解释了保护用户身份以避免凭证被盗的重要性，并介绍了黑客攻击用户身份的过程。
第8章描述了攻击者在破坏系统后如何执行横向移动。
第9章展示了攻击者如何提升权限以获得对网络系统的管理员访问权限。
第10章重点介绍初始防御策略的不同方面，该策略从精心设计安全策略的重要性开始，详细介绍了安全策略、标准、安全意识培训和核心安全控制的最佳实践。
第11章深入探讨了防御的不同方面，涵盖物理网络分段以及虚拟云和混合云。
第12章详细介绍了帮助组织检测攻击的不同类型的网络传感器。
第13章讲述了源自社区和主要供应商的威胁情报的不同方面。
第14章介绍了两个案例研究（分别针对受损害的内部系统和基于云计算的系统），并展示了安全调查涉及的所有步骤。
第15章重点介绍受损系统的恢复过程，并解释了了解所有可用选项的重要性，因为在某些情况下无法实时恢复系统。
第16章描述了漏洞管理对于避免漏洞利用的重要性，涵盖了当前威胁情况和越来越多利用已知漏洞的勒索软件。
第17章介绍了手动日志分析的不同技术，因为对于读者来说，获得有关如何深入分析不同类型的日志以查找可疑安全活动的知识至关重要。
如何从本书获取最佳收益
我们假设本书读者了解基本的信息安全概念，并熟悉Windows和Linux操作系统。
本书中的一些演示也可以在实验室环境中完成。因此，我们建议你拥有一个包含以下虚拟机的虚拟实验室：Windows Server 2012、Windows 10和Kali Linux。

序言

---------------------------8083976 - Web代码安全漏洞深度剖析---------------------------

在当今互联网高速发展的环境下，信息安全成了热门话题，覆盖个人信息安全、企业信息安全，乃至国家安全。攻击者常常把目标定位在寻找和获取系统源码上，传统IT开发人员从0到1建设系统时，少不了涉及常规化的开发与实施流程，但是在整体系统建设的信息安全方面，投入也许不是很大，直到问题被发现时才会“醒悟”。
白盒测试比黑盒测试更能发现可利用高危漏洞。在发现业务系统有异常时，很多手段与方式都只能“临时解围”。要从根本上提升系统的安全性，一是要注重人为方面的安全，二是要注意系统本身的代码安全，从多个角度审视系统自身存在的问题往往是最有效的解决办法。
本书深入浅出，系统性地讲解了代码审计技术的方方面面，从常规的环境搭建到漏洞原理均有介绍，再结合实战案例对主流Web安全漏洞进行剖析，对安全技术爱好者、在校大学生、相关领域从业人员等群体来说，这本书是很好的分享，同时也是做白盒安全测试时不可多得的佳作。
叶猛
京东攻防对抗负责人

媒体评论

---------------------------8083976 - Web代码安全漏洞深度剖析---------------------------

代码审计是软件开发和网络攻防领域既基础又至关重要的一项技术，专业的代码审计人员可以发现软件设计、开发和应用等各个阶段存在的安全漏洞，从而保障代码库和软件架构的安全性。K神（孔韬循）是国内网络安全领域年轻的“老专家”，对安全攻防理解透彻，是知名安全组织“破晓团队”的创始人。他乐于分享知识，培养人才，最重要的是能够把各类安全技术梳理得逻辑清晰，同时兼具独到见解。这本书简洁明了，干货满满，是非常适合代码审计技术学习者阅读的实战指南。
鲁辉中国网络空间安全人才教育联盟秘书长
代码审计能力是安全能力体系的重要组成部分。本书凝结了作者团队多年的心血，通过典型案例，深入浅出地讲述了代码审计的环境构建、漏洞发现和安全剖析，对于从事安全工作的初学者来讲，具有很好的指导作用。
薛继东电子六所网络安全所副所长
代码审计是网络攻防实战的核心技术之一，这本书从环境建设、实战剖析、业务安全三个维度展开，是作者及其团队多年一线实战经验的精华凝结。尤其是对SQL注入、跨站脚本、跨站请求、文件类型、代码和命令执行等漏洞的分析阐述与实战分析，具有重要的学习指导意义和实战指引价值。
王忠儒中国网络空间研究院信息化研究所副所长
代码审计是多数应用安全从业者入门的第一步。本书全面介绍了代码审计的基本方法和常见漏洞的审计方法示例，讲解了业务逻辑类漏洞的审计方法，是对应用代码审计介绍得最全面的安全书籍之一，将对安全知识初学者和应用安全从业者起到重要指导作用。
张欧蚂蚁集团网商银行CISO

---------------------------8079922 - 网络安全与攻防策略：现代威胁应对之道（原书第2版）---------------------------

本书涵盖了新的安全威胁和防御机制，包括对云安全态势管理（Cloud Security Posture Management，CSPM）的概述和对当前威胁形势的评估，另外还重点介绍了新的物联网威胁和加密的相关内容。

.为保持应对外部威胁的安全态势并设计强大的网络安全计划，组织需要了解网络安全的基本知识。本书将带你进入威胁行为者的思维模式，帮助你更好地理解攻击者执行实际攻击的动机和步骤，即网络安全杀伤链。你将获得在侦察和追踪用户身份方面使用新技术实施网络安全策略的实践经验，这能帮助你发现系统是如何受到危害的，并识别、利用你自己系统中的漏洞。
本书也重点介绍了强化系统安全性的防御策略。你将了解包括Azure Sentinel在内的深度工具以确保在每个网络层中都有安全控制，以及如何执行受损系统的恢复过程。
本书涵盖的内容：
为安全态势奠定坚实基础的重要性。
通过网络安全杀伤链了解攻击策略。
通过改进安全政策、强化网络、布置主动传感器和利用威胁情报，提高组织的网络恢复能力。
利用包括Azure Sentinel和零信任网络策略在内的新防御工具。
识别不同类型的网络攻击，如SQL注入、恶意软件和社会工程学威胁（如网络钓鱼电子邮件）。
使用Azure Security Center和Azure Sentinel执行事件调查。
深入了解灾难恢复流程。
了解如何始终如一地监控本地部署云和混合云的安全性并实施漏洞管理策略。
了解如何使用云执行日志（包括来自Amazon Web Services和Azure的日志）分析以识别可疑活动。