web安全现在占据了企业信息安全的很大一部分比重，每个企业都有对外发布的很多业务系统，如何保障web业务安全也是一项信息安全的重要内容。

然而Web 安全是一个实践性很强的领域，需要通过大量的练习来建立对漏洞的直观认识，并积累解决问题的经验。

Web安全与防护技术是当前安全界关注的热点，今天给小伙伴们分享的这份手册尝试针对各类漏洞的攻防技术进行体系化整理，从漏洞的原理到整体攻防技术演进过程进行详细讲解，从而形成对漏洞和web安全的体系化的认识。

第一部分为基础知识，这些知识对Web攻防技术理解有着极大帮助。

第1章 Web安全基础

第二部分重点讲解各类基本漏洞的原理及攻防技术对抗方法，并针对漏洞的测试方法及防护思路进行整理。

第2章 XSS 攻击

第3章 请求伪造漏洞与防护

第4章 SQL 注入

第5章 文件上传攻击

第6章 Web 木马的原理

第7章 文件包含攻击

第8章 命令执行攻击与防御

第三部分重点讲解Web应用的业务逻辑层面安全，但由于各类Web应用的不同，因此重点通过Web应用的用户管理功能入手，讲解在用户权限的获取、分配、利用方面的各项细节问题。

第9章 业务逻辑安全风险存在的前提

第10章 用户管理功能的实现

第11章 用户授权管理及安全分析

第12章 用户身份识别技术及安全防护

第13章 用户后续功能及集中认证方式安全分析

第14章 用户权限处理问题

第15章 业务流程安全基础防护方式总结

第四部分从Web应用整体视角提供攻防对抗过程中的技术细节，这在实际运维过程中有很大的作用。

第16章 标准业务场景

第17章 用户视角下的所见范围探测

第18章 用户视角下的防护手段识别

第19章 常用的防护方案

第五部分介绍Web安全防护体系建设的基本方法，包含常见的防护设备、Web防护体系建议、渗透测试方法及快速代码审计实践，深入了解在Web安全防护体系中的各部分基础内容及开展方式。

第20章 Web 防护技术的演进

第21章 Web 安全防护体系建议

第22章 渗运测试的方法及流程

第23章 快速代码审计实践

限于文章篇幅原因，就展示到这里了，有需要的小伙伴帮忙转发文章后，关注私信回复【网安】凭本文截图即可获取！