序言2

非常荣幸受小峰的邀请为本书作序。

在目前整个数字化和互联网+的浪潮中，网络安全已经成为不容忽视的重要部分，可以说在数字化时代，网络定义着一切，任何一个节点都可能成为攻击对象，牵一发而动全身，引发不可估量的损失。随着互联网技术的不断发展，越来越多的企业和组织通过门户网站、在线服务平台等向公众提供服务，Web应用的重要程度不言而喻。由于Web应用具有访问对象开放、技术架构复杂、涉及场景多样等特点，使其长期成为攻击的第一目标。根据Gartner的调查，安全攻击有75%都发生在Web应用层，2/3的Web系统都十分脆弱，易受攻击。根据2011年7月CNCERT数据显示，境内被篡改网站数量为2613个，其中被篡改政府网站数量为182个，Web安全形势不容乐观！例如，常见的Web业务在线交易系统，存储了用户的机密信息，包括账户、身份证、交易信息等，一旦瘫痪或后台数据被窃取，将给企业或个人造成巨大的损失。另外，门户网站承担着宣传经济发展、对外交流、公开信息等重要功能，是服务于和谐社会的窗口，一旦受到黑客攻击，不仅影响网站的正常工作，还会降低网站的公信力，严重的情况下会导致重要信息的泄密，危及政府和企业形象。国家机关和行业监管部门对此也在不断加大监察和惩治力度，通过自建监测平台或者与互联网众测平台合作等模式，监管机构拥有了越来越专业的Web安全检测手段，这使得系统运维者面临的防护压力与日俱增。

为积极应对当前严峻的网络安全态势，实战化红蓝对抗演练已经成为所有组织、单位检验安全防护能力和应急处置能力、排查整改漏洞隐患、推动网络安全机制优化的重要手段。而Web安全则是红蓝对抗中的核心环节。

红日安全团队作为圈内Web安全老牌团队，成立于2016年，专注于APT攻防、威胁情报、漏洞挖掘、企业安全、代码审计、AI安全、CTF竞赛及安全人才培养。小峰带领红日安全团队为安全圈子贡献了不少开源作品，打造开源安全平台，大家比较熟知的有VulnStack开源靶场平台、启元学堂教育等平台，其开源靶场平台单个靶场下载量破万。通过小峰得知，红日安全团队每年也不定期举办星火线上沙龙，可以为圈内人员持续输出一些干货，在安全圈“造福”了不少刚入门的安全爱好者。《Web安全攻防从入门到精通》这本书对Web安全的关键知识做了深入浅出的解读，值得读者深入研读。

最后，希望红日安全团队越做越好，造福更多安全人才！

宁宇
广东安全服务总监
广东技术服务总监