前言 

党的十八大以来，在习近平总书记关于网络强国的重要思想，特别是关于网络安全工作“四个坚持”重要指示指引下，我国网络安全工作进入快车道，随着国家网络安全顶层设计和总体布局的不断强化，国家迫切需要高水平网络安全技术人才。

网络安全局势严峻、复杂，网络安全不但对于国家安全至关重要，而且与人们社会工作和生活息息相关。人才资源是第一位资源，网络安全人才培养已成为我国国家战略的重要组成部分。

本书主编为高校教师，负责本校本科“网络安全技术”课程大纲的制定，多年讲授“网络安全技术”课程，在培养网络安全高水平人才的道路上一路走来，摸索前行，积累了一些网络安全技术理论与实践的教学经验，讲授的“网络安全技术”课程被评为辽宁省一流本科课程、“网络安全技术”课程思政成为新华网课程思政展示案例，指导学生参加大学生网络安全技能大赛和电子数据取证大赛获得多项奖项，毕业生进入国内知名网安企业工作，并得到用人企业的认可与高度赞誉。学生学习网络安全技术后参与“白帽子”漏洞挖掘，在相关漏洞平台提交几千个漏洞报告，学生还作为“白帽子”参与了北京冬奥护网等相关工作。

“网络安全技术”课程对实践能力要求较高，为了使学生走出校门就能与网安企业的能力要求匹配，编者团队多年与网安企业进行校企合作，探索网络安全高水平人才培养模式。可以说从本书总体构思、章节设定、案例选取分析等方面，都是在多年网络安全技术课程教学基础上的厚积薄发，都是编者在日常教学工作中的经验总结和案例分享。

网络安全界有一句话“未知攻，焉知防”。本书从原理到实践，从攻到防，由浅入深地介绍了网络攻击与防御技术原理和方法，基于靶机网站实例测试Web漏洞，突出网络攻防的实战过程，以便读者提高攻防实操能力。

本书以网络安全热点问题为线索，融入思政元素，树立正确的价值观和网络安全职业观。还介绍了“白帽子”挖掘网络漏洞、守护网络安全以及网络攻防演练的重要性。

全书内容分为三篇，共8章、两个附录。

第一篇为网络安全技术基础，共2章，主要讲解网络安全的基础知识与网络协议安全分析；简要介绍网络安全面临的威胁与挑战、相关技术名词、网络安全法律法规、网络安全职业基本要求等内容。第二篇为Web网络攻击与防御技术，共5章，详细讲解Web网络安全基础及攻击与防御技术，包括SQL注入攻击、XSS跨站脚本攻击、文件上传漏洞、文件包含漏洞、反序列化漏洞等相关内容；基于PHP代码审计、分析漏洞原理，构造漏洞测试用例，基于靶机网站进行渗透测试，分析防御策略。

第三篇为缓冲区溢出攻击与逆向分析，共1章，主要介绍缓冲区溢出攻击原理，以实例分析逆向技术及栈溢出原理。安排一节的篇幅，作为逆向分析技术的入门内容，后续学生可以根据需要继续拓展相关内容的学习。

在每章理论与实践内容之后是习题部分。通过经典习题的练习，学生能够用这些基础理论来解决实际案例中的问题，如代码审计、构造测试脚本等，加深对相关知识的理解。

附录A部分是本书中相关靶场环境搭建及工具介绍，包括简介、安装方法和简单功能介绍。

附录B部分是对CTF网络安全竞赛的介绍。CTF比赛将网络安全专业知识与比赛乐趣有机结合，也是全面学习网络安全技术很好的方式。附录B介绍了CTF竞赛赛制、题目类型、解题思路等，并以CTF实战案例详细介绍了CTF解题过程。

读者可以访问清华大学出版社官方网站下载有关的参考内容。

本书附有随书课件、书中主要测试实例的演示视频和部分习题及答案。

本书的参考学时为40～50学时，也可以根据学时适当地调整讲授内容。

本书由李爱华、张文波和周越主编，喻红婕、臧晶、金海月、王红等参与编写。感谢孙丰旭、刘珠光、杨春雨、温涵在实验测试和相关资料部分的工作。

书中不足与欠妥之处在所难免，敬请广大师生批评指正。

李爱华2024年1月