本书由浅入深地阐述了Web基础渗透与防护的知识和技能体系，采用工单和任务驱动的方法引导学生掌握Web安全漏洞原理、防护和利用方法。全书共十一个单元，包括Web安全简介、SQL注入漏洞、XSS漏洞、CSRF和SSRF漏洞、文件包含漏洞、文件上传漏洞、RCE漏洞、反序列化漏洞、XXE漏洞、信息收集工具、漏洞检测及利用工具、实践靶场渗透测试等内容。 本书巧妙地将知识要点与实践任务相结合，任务设计层层递进，可引导读者逐步提升能力，熟练运用所学知识解决实际问题。 本书适合作为高等职业院校信息安全技术应用、网络空间安全、网络工程专业的教材，也可作为Web安全与防护的培训教材，还可供对网络安全感兴趣的读者自学参考。

在当今数字化飞速发展的时代，互联网已经渗透到人们生活的方方面
面，Web应用程序成为信息交互和业务开展的重要平台。然而，随着Web
技术的广泛应用，网络安全问题日益凸显，Web渗透测试作为保障Web应
用安全的关键环节，愈发受到重视。


Web渗透测试是一门综合性的技术学科，旨在模拟黑客攻击的手段，
对Web应用程序进行全面的安全检测，以发现潜在的安全漏洞并提供相应
的修复建议。这不仅需要读者掌握扎实的技术知识，还需要具备敏锐的洞
察力和丰富的实践经验。


本书在整体知识结构上，从基础概念逐步深入到高级技术，为没有接
触过Web渗透测试领域的学生构建了一个系统的学习框架，使学生能够全
面了解该领域的知识体系。在实践教学方面，引入了行业中广泛使用的各
类工具，并详细讲解其操作步骤，通过大量任务案例，让读者在实践中掌
握Web渗透测试的核心技能，具有很强的职业导向性。在内容规划和学习
方式方面，巧妙地将知识要点与实践任务相结合，任务设计层层递进，从
简单到复杂，引导读者逐步提升能力，熟练运用所学知识解决实际问题。
在文字讲述和内容展示方面，力求做到深入浅出，以通俗易懂的语言解释
复杂的技术概念，同时配合丰富的图表和实例，帮助读者更好地理解和吸
收知识。


本书从Web安全简介入手，以工单驱动方式带领读者认识Web技术和
HTTP协议，为后续的学习奠定基础。接着，深入剖析各类常见漏洞，如
SQL注入漏洞、XSS漏洞、CSRF和SSRF漏洞、文件包含漏洞、文件上传
漏洞、RCE漏洞以及其他漏洞等，详细讲解其原理、挖掘方法和防范措施，使读者对Web渗透测试中的关键问题有深入的理解。随后，介绍信息
收集工具和漏洞检测及利用工具，帮助读者掌握在实际测试中所需的工具
和技术。最后，通过实践靶场渗透测试单元，提供多个真实场景的靶场案
例，让读者在模拟实战环境中综合运用所学知识，提升实际操作能力和问
题解决能力。


本书由李博文、刘仁、么冰玉、王树君任主编，吴庆、张航任副主
编。在编写过程中，我们参考了大量的行业资料和实践经验，希望本书能
够成为读者在Web渗透测试学习道路上的得力伙伴，帮助大家开启网络安
全知识的大门，为构建更加安全的网络环境贡献力量。


由于编者水平有限，加之网络安全技术不断发展，书中难免存在一些
不足之处，恳请广大读者批评指正，以便我们不断完善和改进。


特别声明：本书所讲的基础渗透技术以及涉及的案例与代码，是为了
帮助读者及相关公司认识和找到潜在的安全漏洞，从而有针对性地进行安
全防御，不能进行其他应用。

单元一Web安全简介..........................................................................................................1 任务一认识Web技术..........................................................................................................................2 任务二认识HTTP协议.....................................................................................................................11 任务三进行Web密码暴力破解实验....................................................................................

李博文，辽宁职业学院信息安全技术应用专业教研室主任，副教授。2007年本科毕业于渤海大学信息科学与工程学院计算机科学与技术专业，2014年硕士毕业于沈阳理工大学信息科学与工程学院计算机科学与技术专业。曾获得2021年和2022年辽宁省职工技能大赛网络系统管理获得第二名和第三名。指导学生参加2019年、2020年和2022年辽宁省大学生网络安全技术大赛获得三等奖、一等奖和二等奖。刘仁，就职于辽宁职业学院，信息工程学院副院长，副教授。2006年毕业于吉林化工学院自动化系计算机科学院技术专业。主编十四五国家规划教材《数据库应用技术》1部，副主编或参编教材6部；主持或参与省级科研课题5项，其他教科研课题20余项；获《无纸化考试管理系统》等计算机软件著作权4项；公开发表省级论文4篇。么冰玉，辽宁省锦州市现代服务学校，行政办公室副主任，高级讲师。2004年本科毕业于渤海大学计算机科学与技术专业；2004年8月到锦州市财经学校任教（2015年改名为锦州市现代服务学校）。2023年参与中国高校产学研创新基金资助课题：移动应用开发行业人工智能复合型人才培养的研究与实践；2022年参与辽宁省职业技术技术教育学会科研规划项目：

本书从Web安全简介入手，以工单驱动方式带领读者认识Web技术和
HTTP协议，为后续的学习奠定基础。