本书赞誉
随着网络安全成为数字化时代不可缺少的基石,安全行业也进入了精细化发展的时代,每一个领域都在细分和深入,对人的要求也在不断提高,其中Web安全领域就是一个典型。早期阶段Web安全工程师可以不懂代码,只需要了解原理、会使用工具,就可能找到一份不错的工作,但也正是因为门槛低,导致竞争激烈。那么如何差异化,如何进入专家领域?代码审计无疑是一个很好的方向。破晓团队写的这本书,从环境的搭建、工具的使用,再到漏洞审计原理分析,最后结合业务场景,可帮助你全面地了解Web代码安全审计,获得技能提升。
何艺 完美世界资深安全总监
代码审计的自动化分析工具在审计效率方面有较大优势,但如今人工代码审计工作仍十分普遍,其结果的精确度和质量不容小觑。代码审计是网络安全从业者必备的技能,而深入学习代码审计的相关知识,更是安全研究人员进一步提高安全技能的重要手段。这本书用通俗易懂的语言,根据不同的漏洞类型,由浅入深地对大量代码审计的实战案例进行了深入剖析,还引入了代码审计在业务安全方面的分析方法,可以帮助读者快速提升常见场景下的功能交互与易错逻辑审计能力。作者结合自己在代码审计领域深耕多年的经验与技巧,较系统地梳理出代码审计中漏洞挖掘的思路与漏洞利用方法,所介绍的内容贴合代码审计工作中经常遇到的场景与问题,因此具有较强的实战指导作用。对入门学习代码审计者、安全从业人员以及软件开发人员都有较高的学习和参考价值。
姜海 北京丁牛科技CTO
代码审计是软件开发和网络攻防领域既基础又至关重要的一项技术,专业的代码审计人员可以发现软件设计、开发和应用等各个阶段存在的安全漏洞,从而保障代码库和软件架构的安全性。K神(孔韬循)是国内网络安全领域年轻的“老专家”,对安全攻防理解透彻,是知名网络安全组织“破晓团队”的创始人,他乐于分享知识、培养人才,最重要的是能够把各类安全技术梳理得逻辑清晰,同时兼具独到见解。这本书简洁明了,干货满满,是非常适合代码审计技术学习者阅读的实战指南。
鲁辉 中国网络空间安全人才教育联盟秘书长
代码审计是漏洞挖掘中最快速、最有效的漏洞挖掘方式。本人以前挖掘的0Day漏洞都是从代码审计入手的,现在在甲方也是采用这种方式快速挖掘漏洞,收获颇丰。本书从最基础的环境搭建开始,再逐步分析漏洞成因,给出漏洞代码示例,构造出PoC,给出修复建议,形成闭环,既有深度又有广度,最后扩展到业务安全,值得深入学习。
廖新喜 快手Web安全负责人
代码审计是在甲方安全工作中不可绕开的流程和环节,也是整个安全SDL流程中不可或缺的重要部分。虽然各公司近几年在IAST建设方面采取了很多建设和落地措施,但代码审计仍然是解决线上存量应用安全问题最快速、最完整的方式。这本书较为完整地覆盖了常见的应用层漏洞检测及代码审计知识点,尤其是在业务安全方面,系统化地介绍和梳理了常见的业务安全问题,对于刚开始涉及这方面工作的读者来说是一个很好的参考,推荐给大家。
罗诗尧 新浪微博安全总监
万物互联时代,网络技术正逐渐全面地融入人们的生活,与之配套的网络安全行业也在如火如荼地发展,大量公开的安全漏洞利用工具、开源代码使网络安全技术入门显得非常轻松,然而安全行业是一个入门容易精通难的行业,安全专家人才仍然存在大量缺口,只知其然而不知其所以然的脚本小子与安全专家的区别在于对漏洞利用的原理是否理解。这本书理论和实践并重,以实际漏洞利用过程为主线来详细讲解漏洞原理,而不只是简单地重复各种工具的使用,做到了授人以鱼更授人以渔,对于网络安全初学者和进阶读者都不失为一部佳作。
李均(selfighter) DEFCON GROUP 86010发起人,GoGoByte创始人
代码安全一直是信息安全的重要组成部分,本书系统全面地介绍了常见漏洞的代码审计技术,梳理了企业最关注的业务场景并且做了具体分析,非常适合新人、代码审计工程师和甲方安全工程师学习。
骆政 深信服安全服务交付主管
这本书从代码审计的基础环境开始讲解,让读者能够在掌握代码审计基础的同时,先构建代码审计思维,再以实战为例,从审什么漏洞到如何审计,再到怎样以不变应万变,逐步剖析,并结合案例加深读者理解,最后回顾业务安全方面的审计,以白盒视角从代码层面去研究业务层面的漏洞,是一本适合想要学习代码审计又想快速上手漏洞挖掘的读者阅读的好书。
马坤 四叶草信息安全公司CEO
代码审计是网络攻防实战的高级技能之一。本书舍弃了枯燥的理论讲解,从一线专家实战出发,介绍了代码审计的方法与流程,剖析了代码审计过程中常见的漏洞,复现了漏洞攻击过程,提出了应对漏洞的审计与修复建议,是一本实用的指导书。对于希望在网络攻防领域再进一步的从业者以及想迈入网络安全产业的学习者来说,都极具参考价值。
皮开元 湖南合天智汇副总经理
代码审计是网络安全领域的核心技能,但以前一直未有我“心仪”的著作可以参考,而现在这本由圈内四位技术大咖联合撰写的著作,无疑将填补这一空白,可谓网络安全圈子之幸事。
任晓珲 十五派(15PB)安全教育创始人&CEO
少年郭靖不论如何勤奋努力,习武进展均收效甚微,被师傅们笃定天资太差。直到他遇到真正的启蒙老师马钰,马道长评价“教而不明其法,学而不得其道”,并传授了他一些内功法子。郭靖经过两年不懈练习,打下了深厚的内功根基,再学其他功夫便“豁然开朗”,最终成长为一代武学大师。如果你在学习网络安全的道路上也遇到了瓶颈,本书可能正是你的“内功”启蒙老师,书中通过翔实的案例,带你进入代码安全领域,让你从“知其然”升华到“知其所以然”,并掌握代码审计技术。非常推荐有志于深入学习网络安全知识的读者研读。
王珩 清华蓝莲花战队创始团队成员,网络安全漏洞门户(vulhub.org.cn)创始人
代码审计是网络攻防实战的核心技术之一,这本书从环境建设、实战剖析、业务安全三个维度展开,是作者及其团队多年一线实战经验的精华凝结。尤其是对SQL注入、跨站脚本、跨站请求、文件类型、代码和命令执行等漏洞的分析阐述与实战分析,具有重要的学习指导意义和实战指引价值。
王忠儒 中国网络空间研究院信息化研究所副所长
代码审计能力是安全能力体系的重要组成部分。本书凝结了作者团队多年的心血,通过典型案例,深入浅出地讲述了代码审计的环境构建、漏洞发现和安全剖析,对于从事安全工作的初学者来讲,具有很好的指导作用。
薛继东 电子六所网络安全所副所长
代码审计可以算得上是网络安全攻防领域的一门“内功”,讲究对代码的深入理解。本书通过大量的实战案例,带你走进PHP代码审计的演武场,领略一线专家多年积累下来的精湛技艺。
杨坤 长亭科技联合创始人
代码审计是多数应用安全从业者入门的第一步。本书全面介绍了代码审计的基本方法和常见漏洞的审计方法示例,讲解了业务逻辑类漏洞的审计方法,是对应用代码审计介绍得最全面的安全书籍之一,将对安全知识初学者和应用安全从业者起到重要的指导作用。
张欧 蚂蚁集团网商银行CISO
一直以来,安全领域并不缺少好的书籍,但它们通常起点较高,对于那些急切想要入门的新手来说并不是很友好,他们需要的往往是基础的东西,而本书正好能够满足这一需求。书中从最基础的搭建审计环境开始,结合作者多年的审计经验以及实际审计案例,详细地讲述了漏洞的原理、各种漏洞审计技巧以及相应的调试方法,一步一步地引导初学者步入代码审计的大门。本书在注重基础的同时,还分享了很多宝贵经验,非常建议新手从本书开始,开启你安全世界的大门。
张瑞冬(Only_guest) 成都无糖信息CEO
学习网络安全漏洞攻防技术,我们要“知其然”,更要“知其所以然”。如果说漏洞利用工具的使用是“知其然”,那么通过代码审计分析出漏洞的原理细节就可以说是“知其所以然”了。代码审计可通过从代码层面学习分析别人发现的漏洞原理,再总结各种漏洞模型,最终成功挖掘属于自己的0day目标,我想这本书就是一个入门的好机会。
周景平(黑哥) 知道创宇首席安全官&404实验室总监
很荣幸能为这本书写赞誉,也很感谢孔兄给大家带来如此丰富的代码安全营养套餐。
本书内容“剑走偏锋”,跳出了传统安全三板斧的套路,从底层展示了代码审计技术和代码审计业务安全管理的结合。纵观安全态势,无论是红蓝对抗还是传统意义上的攻防,战场早已延伸至每个隐蔽的角落,其中最重要的一点就是代码,希望本书能为企业精准安全代码建设提供更精细化的指引,也希望每一位读者都能从本书中获取想要的知识,梳理出一条清晰的“线索”。最后预祝本书大卖,快速迭代新版本,持续输出优质内容。
张坤 智联招聘安全负责人,OWASP北京负责人
代码审计技能是网络安全时代的一门新手艺,掌握这门手艺并不容易。本书通过实际案例,从工具、审计思路、漏洞原理、复现利用、代码分析、修复建议等方面深入浅出地剖析常见的代码安全问题,抽丝剥茧地还原代码审计过程,是安全服务、安全开发等相关人员的必备书籍。
曾裕智 漏洞盒子安全服务总监
本书内容源于实践,经过了相对体系化的梳理,使读者能够进行深入的分析与锻炼,为技术提升提供有益的指导和参考,对安全领域从业者是一份很好的参考资料。
周群 360政企安全集团安服中心总经理
这本书的作者和我是多年“战友”,他们也是始终“战斗”在代码审计一线的大咖。本书通过大量的真实场景,带领大家跨过代码审计的门槛,使得漏洞挖掘这种晦涩难懂的技术变得通俗易懂。书中针对大家感兴趣的Payload编写、漏洞利用进行了着重讲解,对于想在Web方向有更大突破的小伙伴,这本书会是不错的选择。
詹鑫(67626d) 暗影安全团队核心成员,国内顶尖工控安全专家
随着互联网的迅速发展,网络安全问题开始被重视,网络安全代码审计工作也变得格外重要。这本书最大的亮点在于结合具体的案例进行剖析,具有非常强的引导性与可操作性,思路清晰,有利于新手学习。
周坤(曲终人散) 中国网安三零卫士工控安全实验室负责人,IRT工控安全团队联合创始人