前言

在当今数字化时代，Web应用程序已成为信息交互和业务处理的主要载体。随之而来的Web安全问题日益凸显，成为网络空间安全的核心议题之一。面对日益严峻的Web安全形势，各国政府、企业和组织都在不断加大对Web安全的投入和重视。我国先后出台了一系列法律法规，为Web安全工作提供了法律保障。同时，Web安全人才的需求也在急剧增加，我国亟需加强Web安全人才的储备和培养。

在上述背景下，编著一套系统、全面的Web安全教材显得尤为重要和迫切。

《Web安全实践》是全面介绍Web安全实践知识的教材，共分为9章，主要涵盖了SQL注入漏洞、远程代码执行漏洞与远程命令执行漏洞、文件上传漏洞、文件包含漏洞、XSS漏洞、SSRF漏洞、反序列化漏洞、逻辑漏洞等内容。本书针对Web安全中的常见漏洞从原理介绍、代码剖析、场景利用、常见绕过和漏洞防御等方面进行详细讲解。每章末尾均设有习题，帮助读者巩固所学内容。

本书的主要内容安排如下： 

第1章详细讲解了SQL注入漏洞的攻防实践知识，包括SQL注入概述、SQL注入分类、常见类型的SQL注入、SQL注入利用、SQL注入绕过、SQLMap、SQL注入防御等。

第2章详细介绍了远程代码执行漏洞与远程命令执行漏洞的攻防实践知识，包括远程代码执行漏洞的概述、绕过和防御，以及远程命令执行漏洞的概述、绕过和防御等。

第3章详细讲解了文件上传漏洞的攻防实践知识，包括文件上传漏洞概述、Web服务器解析漏洞、文件上传漏洞绕过、文件上传漏洞防御等。

第4章详细介绍了文件包含漏洞的攻防实践知识，包括文件包含漏洞概述、文件包含漏洞分类、文件包含漏洞利用、文件包含漏洞绕过、文件包含漏洞防御等。

第5章详细讲解了XSS漏洞的攻防实践知识，包括XSS漏洞概述、XSS漏洞分类、XSS漏洞利用、XSS漏洞绕过、XSS漏洞防御等。

第6章详细介绍了SSRF漏洞的攻防实践知识，包括SSRF漏洞概述、SSRF漏洞分类、SSRF漏洞利用、SSRF漏洞绕过、SSRF漏洞防御等。

第7章详细讲解了反序列化漏洞的攻防实践知识，包括反序列化漏洞概述、常见的PHP魔术方法、POP链的构造、反序列化漏洞示例、反序列化漏洞利用、反序列化漏洞绕过等。

第8章和第9章详细介绍了逻辑漏洞的攻防实践知识，包括权限问题及其防御、数据问题及其防御、验证码漏洞及其防御、密码重置漏洞及其防御等。

本书由暨南大学教授、博士生导师、网络空间安全学院副院长

刘志全担任主编，暨南大学的邓宏、黄漂雄、魏林锋和广西塔易信息技术有限公司的颜靖、梁金担任副主编，他们在Web安全领域具有深厚的学术积累和丰富的实践经验，为保证教材内容的准确性和权威性奠定了坚实的基础。

本书在编著过程中参考了多名专家学者的论著，在此表示诚挚的谢意。暨南大学的邱坚辉、丁昶、林财龙、范文杰、熊友琼、孙誉欣、王睿、邹星慧、高皓霖、骆春浩、赖进岐、李佳骏、焦资茹、黎晔洋、黄锴、杨朗炫、杨欣、陈欣、吴帅超、刘海域等同学为本书的校对付出了大量的时间，清华大学出版社的苏东方编辑为本书的出版提供了诸多指导和帮助，在此一并表示感谢。

本书为读者提供了全面的配套资源，并由多名老师和学生进行更新与维护，读者可访问左侧二维码或关注微信公众号“Web安全基础与实践”进行查阅和下载。

配套资源

本书适合网络空间安全及相关专业学生、Web开发人员、Web运维人员及Web安全爱好者学习使用，也可作为高等院校相关专业的教材或参考书，还可供网络安全从业人员自学参考。

为了让读者能够更加全面地掌握Web安全技能，我们特别编写了本书的姊妹篇《Web安全基础》，诚挚建议读者在学习本书内容之前，先行阅读《Web安全基础》，以构建完整的Web安全知识体系。

由于Web安全攻防技术的快速迭代，知识体系庞大且复杂，本书虽力求为读者提供全面、准确的Web安全知识，但由于作者水平有限、时间仓促，书中难免存在不当之处。如有意见或建议，欢迎通过左侧二维码反馈，我们将不胜感激，并在下一版本中进行完善。

本教材由暨南大学本科教材资助项目资助

编者

2025年6月