web安全书籍推荐

## 福利：[ 网络安全重磅福利：入门&进阶全套282G学习资源包免费分享 ！]
web安全问题一直是互联网的焦点问题，涉及到的web安全相关的书籍也层出不穷。今天在这里推荐几本比较好的web安全相关的书籍。

1、黑客攻防技术宝典系统实战篇

豆瓣评分：9.1

《黑客攻防技术宝典:系统实战篇(第2版)》由世界顶级安全专家亲自执笔，详细阐述了系统安全、应用程序安全、系统攻防、加密解密等安全领域的核心问题，并用大量的实例说明如何检查Windows、Linux、Solaris等流行操作系统中的安全漏洞和Oracle等数据库中的安全隐患。

2、WEB之困-现代WEB应用安全指南

豆瓣评分：8.6

《web之困：现代web应用安全指南》在web安全领域有“圣经”的美誉，在世界范围内被安全工作者和web从业人员广为称道，由来自google chrome浏览器团队的世界顶级黑客、国际一流安全专家撰写，是目前唯一深度探索现代web浏览器安全技术的专著。本书从浏览器设计的角度切入，以探讨浏览器的各主要特性和由此衍生出来的各种安全相关问题为主线，深入剖析了现代web浏览器的技术原理、安全机制和设计上的安全缺陷，为web安全工作者和开发工程师们应对各种基于浏览器的安全隐患提供了应对措施。

3、黑客攻防技术宝典Web实战篇

豆瓣评分：8.6

Web应用无处不在，安全隐患如影随形。承载着丰富功能与用途的Web应用程序中布满了各种漏洞，攻击者能够利用这些漏洞盗取用户资料，实施诈骗，破坏其他系统等。近年来，一些公司的网络系统频频遭受攻击，导致用户信息泄露，造成不良影响。因此，如何确保Web应用程序的安全，已成为摆在人们眼前亟待解决的问题。

本书是Web安全领域专家的经验结晶，系统阐述了如何针对Web应用程序展开攻击与反攻击，深入剖析了攻击时所使用的技巧、步骤和工具，条理清晰，内容详尽。第2版全面升级，涵盖了最新的攻击技巧与应对措施，此外，书中还列出了几百个“漏洞实验室”，以帮助读者对所学内容进行巩固和实战演习。

4、SQL注入攻击与防御

豆瓣评分：8.5

《SQL注入攻击与防御(第2版)》致力于深入探讨SQL注入问题。《SQL注入攻击与防御(第2版)》前一版荣获2009Bejtlich最佳图书奖，第2版对内容做了全面更新，融入了一些最新的研究成果，包括如何在移动设备上利用SQL注入漏洞，以及客户端SQL注入等。《SQL注入攻击与防御(第2版)》由一批SQL注入专家编写，他们对Oracle、SQLServer、MySQL和PostgreSQL数据库平台的SQL注入问题具有独到的见解。

5、Web渗透技术及实战案例解析

豆瓣评分：8.5

《Web渗透技术及实战案例解析》从Web渗透的专业角度，结合网络安全中的实际案例，图文并茂地再现Web渗透的精彩过程。《Web渗透技术及实战案例解析》共分7章，由浅入深地介绍和分析了目前网络流行的Web渗透攻击方法和手段，并结合作者多年的网络安全实践经验给出了相对应的安全防范措施，对一些经典案例还给出了经验总结和技巧，通过阅读《Web渗透技术及实战案例解析》可以快速掌握目前Web渗透的主流技术。《Web渗透技术及实战案例解析》最大的特色就是实用和实战性强，思维灵活。内容主要包括Web渗透必备技术、Google黑客技术、文件上传渗透技术、SQL注入、高级渗透技术、0day攻击和Windows提权与安全防范等。

6、Web应用安全权威指南

豆瓣评分：8.2

《web应用安全权威指南》系日本web安全第一人德丸浩所创，是作者从业多年的经验总结。作者首先简要介绍了web应用的安全隐患以及产生原因，然后详细介绍了web安全的基础，如http、会话管理、同源策略等。此外还重点介绍了web应用的各种安全隐患，对其产生原理及对策进行了详尽的讲解。最后对如何提高web网站的安全性和开发安全的web应用所需要的管理进行了深入的探讨。本书可操作性强，读者可以通过下载已搭建的虚拟机环境亲自体验书中的各种安全隐患。

7、白帽子讲Web安全

豆瓣评分：8.2

白帽子讲Web安全》内容简介：在互联网时代，数据安全与个人隐私受到了前所未有的挑战，各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据？《白帽子讲Web安全》将带你走进Web安全的世界，让你了解Web安全的方方面面。黑客不再变得神秘，攻击技术原来我也可以会，小网站主自己也能找到正确的安全道路。大公司是怎么做安全的，为什么要选择这样的方案呢？你能在《白帽子讲Web安全》中找到答案。详细的剖析，让你不仅能“知其然”，更能“知其所以然”。

8、黑客大曝光 网络安全机密与解决方案

豆瓣评分：8.2

《黑客大曝光》是全球销量第一的网络和计算机信息安全图书，也是有史以来写得最为成功的信息安全旷世之作，被信息安全界奉为“武林秘笈”。作者以独创的知己知彼视角揭示了“黑客攻击的方法学”，从攻防两方面系统阐述了最常见和最隐秘的黑客入侵手段以及针锋相对的防范对策。

9、Wireshark 数据包分析实战

豆瓣评分：7.9

《Wireshark数据包分析实战(第2版)》从网络嗅探与数据包分析的基础知识开始，渐进地介绍Wireshark的基本使用方法及其数据包分析功能特性，同时还介绍了针对不同协议层与无线网络的具体实践技术与经验技巧。在此过程中，作者结合一些简单易懂的实际网络案例，图文并茂地演示使用Wireshark进行数据包分析的技术方法，使读者能够顺着本书思路逐步地掌握网络数据包嗅探与分析技能。最后，《Wireshark数据包分析实战(第2版)》使用网络管理员、IT技术支持、应用程序开发者们经常遇到的实际网络问题(包括无法正常上网、程序连接数据库错误、网速很卡，以及遭遇扫描渗透、ARP欺骗攻击等)，来讲解如何应用Wireshark数据包分析技术和技巧，快速定位故障点，并找出原因以解决实际问题。

10、Web应用安全威胁与防治 基于OWASP Top 10与ESAPI

豆瓣评分：7.8

本书是一本讲解Web应用中最常见的安全风险以及解决方案的实用教材。它以当今公认的安全权威机构OWASP（Open Web Application Security Project）制定的OWASP Top 10为蓝本，介绍了十项最严重的Web应用程序安全风险， 并利用ESAPI（Enterprise Security API）提出了解决方案。

11、Web安全深度剖析

豆瓣评分：7.6

《Web安全深度剖析》从攻到防，从原理到实战，由浅入深、循序渐进地介绍了Web 安全体系。全书分4 篇共16 章，除介绍Web 安全的基础知识外，还介绍了Web 应用程序中最常见的安全漏洞、开源程序的攻击流程与防御，并着重分析了“拖库”事件时黑客所使用的攻击手段。此外，还介绍了渗透测试工程师其他的一些检测方式。

12、Ajax安全技术

豆瓣评分：7.6

《AJAX安全技术》是一本为专业人士提供预防Ajax安全漏洞一手实践的入门指导书。众所周知，Ajax具备变革互联网的潜力，但危险的新安全威胁同样随之而来。《AJAX安全技术》揭示Ajax框架与生俱来的安全弱点密集区域，为开发人员创造安全应用提供指导。每一章由一个Ajax安全谬误开始，随后即将其揭穿。通读《AJAX安全技术》你将看到很多用于阐述关键知识点的真实Ajax安全漏洞案例。在书中还讲到保护Ajax应用的特殊方法，包括每种主要Web编程语言（.NET、Java和PHP）及流行新语言Ruby on Rails。

13、Web前端黑客技术揭秘

豆瓣评分：7.6

Web前端的黑客攻防技术是一门非常新颖且有趣的黑客技术，主要包含Web前端安全的跨站脚本（XSS）、跨站请求伪造（CSRF）、界面操作劫持这三大类，涉及的知识点涵盖信任与信任关系、Cookie安全、Flash安全、DOM渲染、字符集、跨域、原生态攻击、高级钓鱼、蠕虫思想等，这些都是研究前端安全的人必备的知识点。本书作者深入剖析了许多经典的攻防技巧，并给出了许多独到的安全见解。

14、XSS跨站脚本攻击剖析与防御

豆瓣评分：7.4

《XSS跨站脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书，总共8章，主要包括的内容如下。第1章 XSS初探，主要阐述了XSS的基础知识，包括XSS的攻击原理和危害。第2章 XSS利用方式，就当前比较流行的XSS利用方式做了深入的剖析，这些攻击往往基于客户端，从挂马、窃取Cookies、会话劫持到钓鱼欺骗，各种攻击都不容忽视。第3章 XSS测试和利用工具，介绍了一些常见的XSS测试工具。第4章 发掘XSS漏洞，着重以黑盒和白盒的角度介绍如何发掘XSS漏洞，以便帮助读者树立安全意识。

15、代码审计 企业级Web代码安全架构

豆瓣评分：7.4

代码审计是企业安全运营以及安全从业者必备的基本技能。本书详细介绍代码审计的设计思路以及所需要的工具和方法，不仅用大量案例介绍了漏洞挖掘方法，而且在代码层和功能设计层剖析了各种安全漏洞的成因与预防策略。对应用开发人员和安全技术人员都有参考价值。

16、web安全测试

豆瓣评分：7.3

《Web安全测试》中的秘诀所覆盖的基础知识包括了从观察客户端和服务器之间的消息到使用脚本完成登录并执行Web应用功能的多阶段测试。在《Web安全测试》的最后，你将能够建立精确定位到Ajax函数的测试，以及适用于常见怀疑对象（跨站式脚本和注入攻击）的大型多级测试。

17、白帽子讲浏览器安全

豆瓣评分：7.2

浏览器是重要的互联网入口，一旦受到漏洞攻击，将直接影响到用户的信息安全。作为攻击者有哪些攻击思路，作为用户有哪些应对手段？在《白帽子讲浏览器安全》中我们将给出解答，带你了解浏览器安全的方方面面。《白帽子讲浏览器安全》兼顾攻击者、研究者和使用者三个场景，对大部分攻击都提供了分析思路和防御方案。《白帽子讲浏览器安全》从攻击者常用技巧的“表象”深入介绍浏览器的具体实现方式，让你在知其然的情况下也知其所以然。

18、Web入侵安全测试与对策

豆瓣评分：6.3

《Web入侵安全测试与对策》主要是为了向测试人员介绍一些用于测试Web应用程序的攻击方式，其中会包含一些恶意输入的典型例子，比如一些躲避校验和身份认证的方式，以及某些由配置、语言或结构带来的问题。但这些介绍都很简单，同时给出了如何查找和测试这些问题，以及解决这些问题的方法建议。希望《Web入侵安全测试与对策》能够成为人们在测试基于Web的应用程序方面获取信息（和灵感）的有力工具。

作者：shitboy
链接：https://juejin.cn/post/6844904165764759565
来源：稀土掘金
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

网络安全成长路线图

这个方向初期比较容易入门一些，掌握一些基本技术，拿起各种现成的工具就可以开黑了。不过，要想从脚本小子变成hei客大神，这个方向越往后，需要学习和掌握的东西就会越来越多，以下是学习网络安全需要走的方向：

# 网络安全学习方法

​ 上面介绍了技术分类和学习路线，这里来谈一下学习方法：
​ ## 视频学习

![](https://img-blog.csdnimg.cn/569a59c79bb8494292b4efcfed27bf4d.png#pic_center)
![](https://img-blog.csdnimg.cn/e98fa11b565342d59b5f63c5e626f914.png)

# 网络安全学习方法

​ 上面介绍了技术分类和学习路线，这里来谈一下学习方法：
​ ## 视频学习

​ 无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习，当然如果你还不知道选择那套学习，我这里也整理了一套和上述成长路线图挂钩的视频教程，完整版的视频已经上传至CSDN官方，朋友们如果需要可以点击这个链接免费领取。网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！