本书主要介绍常见的OWASP TOP10安全漏洞（开放式Web应用程序安全项目发布的应用程序中最严重的十大风险）。全书共分10个单元，内容包括Web安全基础、与Web安全相关的各类常见漏洞的原理分析及防御加固方法，涉及跨站脚本攻击漏洞、请求伪造漏洞、SQL注入漏洞、文件上传漏洞、文件包含漏洞、命令执行漏洞、业务逻辑漏洞、反序列化漏洞、Web框架安全。本书的创作融入了作者多年在网络安全领域教学与实践的经验，每个单元都包含对应漏洞的攻击与防御内容，便于读者通过上机实践加强安全技能。
本书在内容安排上由浅入深、循序渐进，理论与实践相结合，通过具体实践案例理解和验证理论学习，培养学生独立思考、分析和解决问题的能力，培养高水平Web安全技能型人才。
本书适合作为高等职业院校信息安全专业的教学用书，也可作为安全漏洞挖掘分析人员的基础读物。

单元1 Web安全基础
1.1 Web安全的核心问题
1.1.1 Web安全发展史
1.1.2 常见Web安全漏洞
1.1.3 Web访问流程
1.2 HTTP概述
1.2.1 HTTP的URL
1.2.2 HTTP的请求
1.2.3 HTTP的响应
1.3 HTTPS的安全性分析
1.3.1 HTTPS的基本概念
1.3.2 数据传输的对称加密与非对称加密
1.3.3 HTTPS的安全问题
1.3.4 HTTPS流程
1.4 Web应用中的编码
1.4.1 常见字符编码
1.4.2 传输过程的编码
1.5 Web安全技术与实操平台
1.5.1 Web安全测试工具
1.5.2 Web平台搭建部署
小结
习题
单元2 跨站脚本攻击漏洞
2.1 跨站脚本攻击漏洞介绍
2.1.1 XSS漏洞的分类
2.1.2 XSS漏洞条件
2.1.3 XSS漏洞测试
2.2 XSS漏洞利用及绕过方法
2.2.1 XSS漏洞利用方法
2.2.2 XSS漏洞绕过方法
2.3 XSS漏洞的防御方法
2.3.1 过滤特殊字符XSS Filter
2.3.2 黑白名单
2.3.3 使用实体化编码
2.3.4 其他防御方法
小结
习题
单元3 请求伪造漏洞
3.1 CSRF漏洞介绍
3.1.1 CSRF攻击流程
3.1.2 CSRF漏洞利用场景
3.1.3 CSRF漏洞攻击案例
3.2 CSRF漏洞防御方法
3.3 CSRF漏洞总结
……
单元4 SQL注入漏洞
单元5 文件上传漏洞
单元6 文件包含漏洞
单元7 命令执行漏洞
单元8 业务逻辑漏洞
单元9 反序列化漏洞
单元10 Web框架安全
参考文献