Wb漏洞分析与防范实战.卷2

图书标准信息

• 作者 赵伟杨冀龙知道创宇404实验室 著
• 出版社 机械工业出版社
• 出版时间 2025-10
• ISBN 9787111788492
• 定价 129.00元
• 装帧 其他
• 开本 16开

【作者简介】

··

赵伟
知道创宇创始人兼CEO，中国反网络病毒联盟资深专家，安全联盟创始人。现任朝阳区政协委员、朝阳区工商联执委、中国网络空间安全协会常务理事、中国互联网协会理事。享有“2021年中国产业创新百人榜”“2021年中国数字生态领袖”“2012年福布斯中美30位30岁以下创业者榜单”“消费者协会2015年十大最美维权人物”荣誉。
杨冀龙
知道创宇联合创始人兼CTO，中央社会治安综合治理委员会办公室网络安全专家组专家。现任中国网络空间安全协会理事、中国互联网协会网络空间安全分会技术委员会委员、兰州大学荣誉教授。中国民间著名白帽黑客团队“安全焦点”核心成员，被《沸腾十五年》评为中国新一代黑客领军人物之一。原创信息安全经典畅销书《网络渗透技术》作者之一。
知道创宇404实验室
知道创宇核心的安全研究部门，持续在网络安全领域进行漏洞挖掘、漏洞研究、安全工具的开源分享和推广。团队专注于Web、loT、工控、区块链等领域内安全漏洞挖掘以及攻防技术的研究工作，曾多次向国内外多家知名厂商如微软、苹果、Adobe、腾讯、阿里、百度等提交漏洞研究成果，并协助修复安全漏洞。
由知道创宇404实验室打造的网络空间测绘搜索引擎ZoomEye已经成为全球网络空间测绘领域的先行者。此外，还打造了一款开源的远程漏洞测试框架Pocsuite 3，其已成为知道创宇安全研究团队发展的基石。该项目自2015年开源以来，不断更新迭代，至今仍在维护中。

【目录】

知道创宇核心的安全研究部门，持续在网络安全领域进行漏洞挖掘、漏洞研究、安全工具的开源分享和推广。
本书以知道创宇404实验室在实际研究工作中遇到的真实案例为基础，结合团队多年的网络安全研究和实践经验，延续了《Web漏洞分析与防范实战：卷1》的实战性和系统性，进一步深入探讨了Web安全领域中的高危漏洞类型及其防御策略。书中以实际漏洞案例为切入点，通过四个章节详细分析了远程命令执行漏洞、代码执行漏洞、反序列化漏洞以及Web应用后门等常见且高危的漏洞类型。通过剖析真实案例中的漏洞成因、攻击路径和防御策略，使读者能够直观地理解这些漏洞的危险性和应对方法。
本书主要由四大章节构成。
第1章通过实际漏洞案例介绍远程命令执行漏洞，并介绍漏洞补丁被绕过的原因、绕过方法及防护建议。
第2章通过实际漏洞案例介绍代码执行漏洞的各种形式、成因、带来的影响及防护建议。
第3章介绍PHP、Java和.NET这三种常见语言中出现过的漏洞案例，以及各种反序列化漏洞利用技巧，同时给出了防护建议。
第4章从Web应用的后门开始，深入探究到PyPI库中的恶意库、phpStudy的后门，介绍后门代码的逻辑、相关事件所带来的影响及防护建议。
无论是初学者，还是追求进一步提升专业技能的从业人员，都能从中获得宝贵的知识和指导。

内容摘要

知道创宇核心的安全研究部门，持续在网络安全领域进行漏洞挖掘、漏洞研究、安全工具的开源分享和推广。
本书以知道创宇404实验室在实际研究工作中遇到的真实案例为基础，结合团队多年的网络安全研究和实践经验，延续了《Web漏洞分析与防范实战：卷1》的实战性和系统性，进一步深入探讨了Web安全领域中的高危漏洞类型及其防御策略。书中以实际漏洞案例为切入点，通过四个章节详细分析了远程命令执行漏洞、代码执行漏洞、反序列化漏洞以及Web应用后门等常见且高危的漏洞类型。通过剖析真实案例中的漏洞成因、攻击路径和防御策略，使读者能够直观地理解这些漏洞的危险性和应对方法。
本书主要由四大章节构成。
第1章通过实际漏洞案例介绍远程命令执行漏洞，并介绍漏洞补丁被绕过的原因、绕过方法及防护建议。
第2章通过实际漏洞案例介绍代码执行漏洞的各种形式、成因、带来的影响及防护建议。
第3章介绍PHP、Java和.NET这三种常见语言中出现过的漏洞案例，以及各种反序列化漏洞利用技巧，同时给出了防护建议。
第4章从Web应用的后门开始，深入探究到PyPI库中的恶意库、phpStudy的后门，介绍后门代码的逻辑、相关事件所带来的影响及防护建议。
无论是初学者，还是追求进一步提升专业技能的从业人员，都能从中获得宝贵的知识和指导。

主编推荐
·作者简介·赵伟知道创宇创始人兼CEO，中国反网络病毒联盟资深专家，安全联盟创始人。现任朝阳区政协委员、朝阳区工商联执委、中国网络空间安全协会常务理事、中国互联网协会理事。享有“2021年中国产业创新百人榜”“2021年中国数字生态领袖”“2012年福布斯中美30位30岁以下创业者榜单”“消费者协会2015年十大最美维权人物”荣誉。杨冀龙知道创宇联合创始人兼CTO，中央社会治安综合治理委员会办公室网络安全专家组专家。现任中国网络空间安全协会理事、中国互联网协会网络空间安全分会技术委员会委员、兰州大学荣誉教授。中国民间著名白帽黑客团队“安全焦点”核心成员，被《沸腾十五年》评为中国新一代黑客领军人物之一。原创信息安全经典畅销书《网络渗透技术》作者之一。知道创宇404实验室知道创宇核心的安全研究部门，持续在网络安全领域进行漏洞挖掘、漏洞研究、安全工具的开源分享和推广。团队专注于Web、loT、工控、区块链等领域内安全漏洞挖掘以及攻防技术的研究工作，曾多次向国内外多家知名厂商如微软、苹果、Adobe、腾讯、阿里、百度等提交漏洞研究成果，并协助修复安全漏洞。由知道创宇404实验室打造的网络空间测绘搜索引擎ZoomEye已经成为全球网络空间测绘领域的先行者。此外，还打造了一款开源的远程漏洞测试框架Pocsuite 3，其已成为知道创宇安全研究团队发展的基石。该项目自2015年开源以来，不断更新迭代，至今仍在维护中。

媒体评论

本书分享了很多经典的真实漏洞场景，并基于这些场景解析了对应的防御方法，看完后不仅巩固了这些传统网络安全漏洞的攻防点，还加深学习了404 实验室的诸多实战经验。受益颇多！<br />—— 余弦（COS）404实验室前负责人<br />404实验室以其精湛的Web攻防实战技能享誉业界，而Seebug?Paper则以其技术深度和实用性广受赞誉。本书是404实验室基于Seebug?Paper的精华内容，精心打造的集实战经验与系统性知识于一体的专业指南。通过深入分析真实案例，详细讲解各类漏洞的发现、分析与防御策略，读者能够直观地掌握各类安全的核心技能。<br />—— Fooying 404实验室团队前成员 <br />与404团队的结缘是我网络安全之路上的重要转折点。团队的Seebug Paper平台汇集了业内前沿的研究成果和众多经典的分析报告，即使多年后，Seebug Paper依然是我每日必看的内容之一。希望更多想学习网络安全和从事网络安全工作的朋友能在这里突破自己的瓶颈点，并期待平台继续保持发布高质量的技术和分析文章，持续为网络安全领域贡献力量。 <br />—— 1u0m 404实验室团队前成员 <br />本书基于实验室的实际案例，深入剖析各类安全问题，详细展示漏洞发现过程与防御策略，具有极强的实战指导意义。无论对于初学者还是专业人士，都是一本极具价值的网络安全实战指南。希望每一位读者都能从中获益，提升安全技能，为网络安全事业贡献力量。<br /><br />—— Mogu 404实验室团队前成员 <br />本书涵盖前端、后端、客户端及服务端等多端的安全知识，通过丰富的漏洞案例拆解，从漏洞产生、分析到修复、防御，全流程地为行业初学者、资深从业者提供了非常宝贵的学习参考资料。实践是检验学习最有效的方式，相信这本书会给每位读者带来很多启发和思考，成为迈向网络安全进阶之路的实战向导。<br />—— 曲子龙 404实验室团队前成员 <br />本书作为一部网络安全领域的优秀读物，列举了各类流行应用的经典漏洞，涵盖了从基础原理到高级技术的方方面面。通过详细的案例分析、最新的攻击方式及防御策略的解析，不仅能帮助读者掌握理论知识，还能够为实际工作中的安全问题提供有效的解决方案。　　　<br />—— Greysign 404实验室团队前成员