本书主要包含三部分内容： 第一部分介绍信息安全的基础知识，包括堆栈基础、汇编语言、PE文件格式、信息安全专业必知必会的基础工具OllyDBG和IDA Pro等； 第二部分通过部分简单案例深入浅出地介绍漏洞利用及漏洞挖掘的原理，旨在让读者能直观地认识漏洞的危害性，了解漏洞挖掘的基本思想和流程； 第三部分则针对渗透测试及Web应用安全进行详细讲解，包括渗透测试框架Metasploit、针对Window XP系统的扫描和渗透、Web应用开发原理、Web应用的安全威胁、针对Web的渗透攻击等，其中基于Web的渗透测试对很多读者而言很容易上手实践，通过跟随本书的案例可以加深对黑客攻防的认识。 本书是南开大学信息安全专业的必修课教材，建议在大二下学期使用。对于信息安全专业的学生而言，这是一本较为基础、全面的入门级教程； 对于非信息安全专业的学生，如果想了解一些软件安全、Web安全的知识，甚至仅仅是想知道黑客是怎么炼成的，也非常值得推荐来读一读。

目前网络入侵事件频频发生，国内大量服务器被黑客控制，成为危害网络安全的一大隐患，而入侵的一个主要手段就是漏洞利用。因此，在信息安全专业中教授漏洞利用、渗透测试的知识是必需和必要的。本书作为南开大学信息安全专业的必修课教材，将侧重信息安全基础工具的使用、漏洞利用原理、渗透测试（特别是Web渗透测试）知识的讲授，配备大量容易部署运行的测试案例，以提高教学效果。书本主要适用于信息安全专业的学生使用，也可以作为计算机专业学生自学的选用教材。

前言 前言 当今我们已经处在互联网时代，黑客入侵、隐私数据泄露、网络诈骗等各类安全事件频发之中，人们只知道所处的网络不安全、使用的软件有危险、黑客容易入侵，但是却不知道这些安全事件发生的真正原因。 写这本书的目的就源于此。一方面，期望为信息安全专业的学生提供全面、概括的入门级教程，培养其信息安全攻防的兴趣； 另一方面，希望为那些对信息安全、黑客攻防感兴趣的计算机或软件专业的学生，融合软件安全、Web安全和黑客攻防多维知识，提供一些概况性解答。 如果想知道系统为什么不安全、黑客轻松就可以入侵的原因，只需要通过本书读懂漏洞的概念、知道漏洞的危害性即可。如果想知道黑客如何进行攻击，可以通过本书读懂渗透测试，动手实践针对Web网站的SQL注入等攻击。如果想知道漏洞产生的根本原因，并且渴望知道如何让这个网络时代的系统、软件、网站更加安全，那么恭喜你，你已经了解了本书编写的初衷和精髓，那就是如何编写安全的代码。代码审计、必要的渗透测试，才会确保发布的软件系统、编写的网站程序漏洞尽可能减少，让互联网时代里黑客可利用的资源尽可能耗尽。 本教材由刘哲理（南开大学）、李进（广州大学）共同编写完成，由贾春福（南开大学）教授对知识点和内容进行了摘选和校正。在编写过程中采用编者长期使用的讲稿，并参考了相关书籍和网络资料，在此对相关作者表示诚挚的谢意。由于编者水平有限，书中难免存在疏漏，敬请同行专家批评指正。 刘哲理 20161001