Web安全的攻與防是密不可分的。隻有通過從用戶或入侵者的角度對目標繫統進行滲透測試，了解其攻擊的手段和原理，纔能*加有的放矢的采取防護措施，取長補短，實現*有效的防御。漆文輝主編的這本《Web繫統攻防技術與實踐》也是沿用這種思路，試圖站在入侵者的角度，研究Web應用繫統攻擊與防護的關鍵技術，並通過搭建實際漏洞環境和對大量實際案例講解與分析，讓讀者對Web繫統攻防技術有*直觀的體會和*深入的認識。

漆文輝主編的《Web繫統攻防技術與實踐》從攻 擊和防護兩個角度繫統地講述了Web安全的相關理論 和案例。其中，攻擊技術選取了OWASP TOP 10中最常 見也是危害最大的幾類技術進行介紹，包括跨站腳本 XSS、跨站請求偽造CSRF、SQL注入、文件上傳漏洞和 文件包含漏洞等，每一類技術除了介紹其基本概念和 技術原理外，還通過真實發生的實際案例進行深入分 析。防護技術方面，在介紹攻擊技術的每一章最後， 都會有針對性地介紹此類攻擊手段的最有效防護方法 和原理。 此外，本書還通過兩個獨立的章節，繫統地介紹 了Web日志和主機日志分析的方法，介紹如何通過分 析日志文件來發現入侵行為，進而針對安全威脅采取 對應的防範措施。 本書實例豐富、典型，實戰性強，非常適合電力 繫統信息安全人員使用。

前言
第一章 Web繫統安全概述
第一節 Web繫統基礎
第二節 Web繫統安全技術
第二章 跨站腳本XSS
第一節 XSS原理及危害
第二節 XSS分類
第三節 XSS注入方式
第四節 XSS的過濾與繞過
第五節 XSS滲透實例
第六節 XSS的防御
第三章 跨站請求偽造CSRF
第一節 CSRF原理及危害
第二節 CSRF分類
第三節 CSRF滲透實例
第四節 CSRF的防御
第四章 SQL注入
第一節 SQL注入原理
第二節 手工注入
第三節 工具注入
第五章 文件上傳漏洞
第一節 文件上傳漏洞原理與危害
第二節 文件類型檢查及繞過
第三節 Web服務解析漏洞
第四節 文件上傳漏洞滲透實例
第五節 文件上傳漏洞的防御
第六章 文件包含漏洞
第一節 概述
第二節 文件包含漏洞的類型
第三節 文件包含漏洞的常見滲透方式
第四節 文件包含漏洞滲透實例
第五節 文件包含漏洞的防御
第七章 Web服務器日志分析
第一節 Web服務器日志介紹
第二節 日志分析方法
第三節 日志分析追蹤實例
第八章 主機日志分析
第一節 Windows繫統日志介紹
第二節 Windows繫統日志分析方法
第三節 Linux繫統日志介紹
第四節 Linux主機日志分析方法
第五節 日志分析追蹤實例
第九章 網頁惡意代碼
第一節 網頁惡意代碼分析
第二節 網頁惡意代碼防範與檢測
參考文獻