Web安全的攻与防是密不可分的。只有通过从用户或入侵者的角度对目标系统进行渗透测试，了解其攻击的手段和原理，才能更加有的放矢的采取防护措施，取长补短，实现最有效的防御。漆文辉主编的这本《Web系统攻防技术与实践》也是沿用这种思路，试图站在入侵者的角度，研究Web应用系统攻击与防护的关键技术，并通过搭建实际漏洞环境和对大量实际案例讲解与分析，让读者对Web系统攻防技术有更直观的体会和更深入的认识。

漆文辉主编的《Web系统攻防技术与实践》从攻击和防护两个角度系统地讲述了Web安全的相关理论和案例。其中，攻击技术选取了OWASP TOP 10中最常见也是危害最大的几类技术进行介绍，包括跨站脚本XSS、跨站请求伪造CSRF、SQL注入、文件上传漏洞和文件包含漏洞等，每一类技术除了介绍其基本概念和技术原理外，还通过真实发生的实际案例进行深入分析。防护技术方面，在介绍攻击技术的每一章最后，都会有针对性地介绍此类攻击手段的最有效防护方法和原理。

此外，本书还通过两个独立的章节，系统地介绍了Web日志和主机日志分析的方法，介绍如何通过分析日志文件来发现入侵行为，进而针对安全威胁采取对应的防范措施。

本书实例丰富、典型，实战性强，非常适合电力系统信息安全人员使用。

前言

第一章 Web系统安全概述

 第一节 Web系统基础

 第二节 Web系统安全技术

第二章 跨站脚本XSS

 第一节 XSS原理及危害

 第二节 XSS分类

 第三节 XSS注入方式

 第四节 XSS的过滤与绕过

 第五节 XSS渗透实例

 第六节 XSS的防御

第三章 跨站请求伪造CSRF

 第一节 CSRF原理及危害

 第二节 CSRF分类

 第三节 CSRF渗透实例

 第四节 CSRF的防御

第四章 SQL注入

 第一节 SQL注入原理

 第二节 手工注入

 第三节 工具注入

第五章 文件上传漏洞

 第一节 文件上传漏洞原理与危害

 第二节 文件类型检查及绕过

 第三节 Web服务解析漏洞

 第四节 文件上传漏洞渗透实例

 第五节 文件上传漏洞的防御

第六章 文件包含漏洞

 第一节 概述

 第二节 文件包含漏洞的类型

 第三节 文件包含漏洞的常见渗透方式

 第四节 文件包含漏洞渗透实例

 第五节 文件包含漏洞的防御

第七章 Web服务器日志分析

 第一节 Web服务器日志介绍

 第二节 日志分析方法

 第三节 日志分析追踪实例

第八章 主机日志分析

 第一节 Windows系统日志介绍

 第二节 Windows系统日志分析方法

 第三节 Linux系统日志介绍

 第四节 Linux主机日志分析方法

 第五节 日志分析追踪实例

第九章 网页恶意代码

 第一节 网页恶意代码分析

 第二节 网页恶意代码防范与检测

参考文献