前言

在当今数字化时代，Web应用程序已成为信息交互和业务处理的主要载体。随之而来的Web安全问题日益凸显，成为网络空间安全的核心议题之一。面对日益严峻的Web安全形势，各国政府、企业和组织都在不断加大对Web安全的投入和重视。我国先后出台了一系列法律法规，为Web安全工作提供了法律保障。同时，Web安全人才的需求也在急剧增加，我国亟须加强Web安全人才的储备和培养。

在上述背景下，编著一套系统、全面的Web安全教材显得尤为重要和迫切。《Web安全基础》是一本全面介绍Web安全基础知识的教材。本书共分为7章，包括Web安全概述、相关法律法规概述、Web基础、环境配置与工具使用、信息收集与信息泄露、Webshell基础、Web安全防御技术等内容。本书不仅提供了丰富的理论讲解，还包含了大量的实操指导，例如虚拟机安装、靶场搭建、工具使用等。每章末尾均设有习题，能够帮助读者巩固所学内容。

本书的主要内容安排如下。

第1章简要介绍了Web安全的基本概念、发展历程、现状，以及Web应用与Web安全的关系，旨在帮助读者建立对Web安全的整体认知。

第2章简要介绍了《中华人民共和国网络安全法》《网络产品安全漏洞管理规定》《关键信息基础设施安全保护条例》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，旨在帮助读者了解Web安全相关的法律框架。

第3章详细讲解了Web基础，包括HTTP与HTTPS、会话管理、HTML、CSS、JavaScript、PHP、进制、编码、Linux常用命令、Docker等，旨在帮助读者为后续内容的学习奠定基础。

第4章详细介绍了实验环境的配置与多种工具的使用，包括VMware Workstation Pro、靶机与攻击机部署、LAMP环境配置、靶场搭建，以及Wireshark、Burp Suite、AntSword、HackBar等工具的安装与使用。

第5章详细讲解了信息收集的常用方法，包括基于搜索引擎、基于GitHub存储库、端口扫描、子域名收集、C段收集、敏感文件/目录扫描、指纹识别、基于网络空间测绘平台等，并详细介绍了信息泄露的常见途径及防范措施。

第6章详细介绍了Webshell基础知识，包括Webshell原理、分类、管理工具、免杀、检测等，旨在帮助读者全面了解Webshell技术。

第7章详细讲解了Web安全防御技术，包括防火墙、Web应用防火墙、入侵检测等被动防御技术，以及蜜罐、入侵防御等主动防御技术，旨在帮助读者掌握Web安全防御的基本方法和策略。

本书由暨南大学教授、博士生导师、网络空间安全学院副院长刘志全担任主编，暨南大学的邓宏、黄漂雄、魏林锋和广西塔易信息技术有限公司的颜靖、梁金担任副主编，他们在Web安全领域具有深厚的学术积淀和丰富的实践经验，为保证教材内容的准确性和权威性奠定了坚实的基础。

在本书的编著过程中参考了多名专家学者的论著，在此表示诚挚的谢意。暨南大学的丁昶、邱坚辉、林俊材、李开源、许诺、马森婷、周帅宇、黄馨、欧阳航、伍晓扬、肖健成、丛语洛、赖惠琳、李松、唐宇轩、廖强、张嘉润、刘子峤、樊悦等同学为本书的校对付出了大量的时间，清华大学出版社的苏东方编辑为本书的出版提供了诸多指导和帮助，在此一并表示感谢。

配套资源本书为读者提供了全面的配套资源，并由多名老师和学生进行更新与维护，读者可访问左侧二维码或关注微信公众号“Web安全基础与实践”进行查阅和下载。

本书适合网络空间安全及相关专业学生、Web开发人员、Web运维人员及Web安全爱好者学习使用，也可作为高等院校相关专业的教材或参考书，还可供网络安全从业人员自学参考。

为了让读者能够更加全面地掌握Web安全技能，我们特别编写了本书的姊妹篇《Web安全实践》，诚挚建议读者在学习完本书内容后，继续阅读《Web安全实践》，以构建完整的Web安全知识体系。

由于Web安全攻防技术的快速迭代，知识体系庞大且复杂，本书虽力求为读者提供全面、准确的Web安全知识，但限于编者水平、时间仓促，书中难免存在不当之处。如有意见或建议，欢迎通过左侧二维码反馈，我们将不胜感激，并在下一版本中进行完善。

本教材由暨南大学本科教材资助项目资助

编者

2025年1月