網絡空間安全重點規劃叢書編審委員會顧問委員會主任: 瀋昌祥(中國工程院院士)
特別顧問: 姚期智(美國國家科學院院士、美國人文及科學院院士、中國科學院院士、“圖靈獎”獲得者)
何德全(中國工程院院士)蔡吉人(中國工程院院士)
方濱興(中國工程院院士)吳建平(中國工程院院士)
王小雲(中國科學院院士)管曉宏(中國科學院院士)
主任: 封化民
副主任: 李建華俞能海韓臻張煥國馮登國
委員: (排名不分先後)
蔡晶晶曹珍富陳克非陳興蜀杜瑞穎杜躍進
段海新範紅高嶺宮力谷大武何大可
侯整風胡愛黃繼武黃劉生荊繼武
寇衛東來學嘉李暉劉建偉劉建亞馬建峰
毛文波潘柱廷裴定一錢德沛秦玉海秦拯
秦志光仇保利任奎石文昌汪烈軍王懷民
王勁松王軍王麗娜王美琴王清賢王偉平
王新梅王育民魏建國翁健吳曉平吳雲坤
徐明許進徐文淵嚴明楊波楊庚
楊義先於旸張功萱張紅旗張宏莉張敏情
張玉清鄭東周福纔周世傑左英男
叢書策劃: 張民21世紀是信息時代,信息已成為社會發展的重要戰略資源,社會的信息化已成為當今世界發展的潮流和核心,而信息安全在信息社會中將扮演極為重要的角色,它會直接關繫到國家安全、企業經營和人們的日常生活。 隨著信息安全產業的快速發展,全球對信息安全人纔的需求量不斷增加,但我國目前信息安全人纔極度匱乏,遠遠不能滿足金融、商業、公安、軍事和政府等部門的需求。要解決供需矛盾,必須加快信息安全人纔的培養,以滿足社會對信息安全人纔的需求。為此,繼2001年批準在武漢大學開設信息安全本科專業之後,又批準了多所高等院校設立信息安全本科專業,而且許多高校和科研院所已設立了信息安全方向的具有碩士和博士學位授予權的學科點。
信息安全是計算機、通信、物理、數學等領域的交叉學科,對於這一新興學科的培養模式和課程設置,各高校普遍缺乏經驗,因此中國計算機學會教育專業委員會和清華大學出版社聯合主辦了“信息安全專業教育教學研討會”等一繫列研討活動,並成立了“高等院校信息安全專業繫列教材”編審委員會,由我國信息安全領域著名專家肖國鎮教授擔任編委會主任,指導“高等院校信息安全專業繫列教材”的編寫工作。編委會本著研究先行的指導原則,認真研討國內外高等院校信息安全專業的教學體繫和課程設置,進行了大量具有前瞻性的研究工作,而且這種研究工作將隨著我國信息安全專業的發展不斷深入。繫列教材的作者都是既在本專業領域有深厚的學術造詣,又在教學線有豐富的教學經驗的學者、專家。
該繫列教材是我國套專門針對信息安全專業的教材,其特點是:
① 體繫完整、結構合理、內容先進。
② 適應面廣: 能夠滿足信息安全、計算機、通信工程等相關專業對信息安全領域課程的教材要求。
③ 立體配套: 除主教材外,還配有多媒體電子教案、習題與實驗指導等。
④ 版本更新及時,緊跟科學技術的新發展。
在全力做好本版教材,滿足學生用書的基礎上,還經由專家的和審定,遴選了一批國外信息安全領域優秀的教材加入繫列教材中,以進一步滿足大家對外版書的需求。“高等院校信息安全專業繫列教材”已於2006年年初正式列入普通高等教育“十一五”教材規劃。
2007年6月,高等學校信息安全類專業教學指導委員會成立大會暨次會議在北京勝利召開。本次會議由高等學校信息安全類專業教學指導委員會主任單位北京工業大學和北京電子科技學院主辦,清華大學出版社協辦。高等學校信息安全類專業教學指導委員會的成立對我國信息安全專業的發展起到重要的指導和推動作用。2006年給武漢大學下達了“信息安全專業指導性專業規範研制”的教學科研項目。2007年起該項目由高等學校信息安全類專業教學指導委員會組織實施。在高教司和教指委的指導下,項目組團結一致,努力工作,克服困難,歷時5年,制定出我國個信息安全專業指導性專業規範,於2012年年底通過經高等教育司理工科教育處授權組織的專家組評審,並且已經得到武漢大學等許多高校的實際使用。2013年,新一屆高等學校信息安全專業教學指導委員會成立。經組織審查和研究決定,2014年以高等學校信息安全專業教學指導委員會的名義正式發布《高等學校信息安全專業指導性專業規範》(由清華大學出版社正式出版)。
2015年6月,國務院學位委員會、出臺增設“網絡空間安全”為一級學科的決定,將高校培養網絡空間安全人纔提到新的高度。2016年6月,中央網絡安全和信息化領導小組辦公室(下文簡稱中央網信辦)、國家發展和改革委員會、、科學技術部、工業和信息化部及人力資源和社會保障部六大部門聯合發布《關於加強網絡安全學科建設和人纔培養的意見》(中網辦發文〔2016〕4號)。2019年6月,高等學校網絡空間安全專業教學指導委員會召開成立大會。為貫徹落實《關於加強網絡安全學科建設和人纔培養的意見》,進一步深化高等教育教學改革,促進網絡安全學科專業建設和人纔培養,促進網絡空間安全相關核心課程和教材建設,在高等學校網絡空間安全專業教學指導委員會和中央網信辦資助的網絡空間安全教材建設課題組的指導下,啟動了“網絡空間安全重點規劃叢書”的工作,由高等學校網絡空間安全專業教學指導委員會秘書長封化民教授擔任編委會主任。本規劃叢書基於“高等院校信息安全專業繫列教材”堅實的工作基礎和成果、陣容強大的編審委員會和優秀的作者隊伍,目前已經有多本圖書獲得和中央網信辦等機構評選的“普通高等教育本科規劃教材”“普通高等教育精品教材”“中國大學出版社圖書獎”和“國家網絡安全優秀教材獎”等多個獎項。
“網絡空間安全重點規劃叢書”將根據《高等學校信息安全專業指導性專業規範》(及後續版本)和相關教材建設課題組的研究成果不斷更新和擴展,進一步體現科學性、繫統性和新穎性,及時反映教學改革和課程建設的新成果,並隨著我國網絡空間安全學科的發展不斷完善,力爭為我國網絡空間安全相關學科專業的本科和研究生教材建設、學術出版與人纔培養做出更大的貢獻。
我們的Email地址是: zhangm@tup.tsinghua.edu.cn,聯繫人: 張民。
“網絡空間安全重點規劃叢書”編審委員會Web安全原理分析與實踐出版說明沒有網絡安全,就沒有國家安全;沒有網絡安全人纔,就沒有網絡安全。
為了更多、更快、更好地培養網絡安全人纔,許多高校都在加大投入,聘請優秀教師,招收優秀學生,以建設一流的網絡空間安全專業。
網絡空間安全專業建設需要體繫化的培養方案、繫統化的專業教材和專業化的師資隊伍。優秀教材是網絡空間安全專業人纔培養的關鍵,然而,這是一項十分艱巨的任務。原因有二: 其一,網絡空間安全的涉及面非常廣,至少包括密碼學、數學、計算機、通信工程等多門學科,因此,其知識體繫龐雜,難以梳理;其二,網絡空間安全的實踐性很強,技術發展更新非常快,對教學環境和師資要求也很高。
作者一直從事網絡安全方面的教學、服務和研究工作,積累了大量的實踐經驗。通過本書,作者將自己積累的學習經驗和實際工作中的實踐經驗與讀者分享,使讀者可以在Web安全領域快速入門,通過典型漏洞代碼分析對Web安全的漏洞原理有深入的理解,並且通過案例實踐提高實際操作能力。
本書對各種漏洞的形成原理進行了深入、詳細的分析,既包括常見的經典漏洞,也包括近來出現的新型漏洞,對各種漏洞都結合案例進行了詳細的代碼分析,並對漏洞的利用方式進行了全面講解。讀者可以通過本書了解各種漏洞的形成原理、利用方式及修復方法。不論是初學者還是有一定工作經驗的從業者,都能通過本書全面、繫統地掌握漏洞原理和相關知識。本書既可以作為Web安全初學者的入門書籍,又可以作為Web安全工作者的工具書。
“Web安全原理分析與實踐”是網絡空間安全和信息安全專業的專業課程。本書由淺入深,由理論到實踐,講解了與Web攻防相關的整個體繫,涉及的知識面很寬。本書共13章。第1章介紹Web安全基礎,第2章介紹SQL注入漏洞,第3章介紹文件上傳漏洞,第4章介紹文件包含漏洞,第5章介紹命令執行漏洞,第6章介紹代碼執行漏洞,第7章介紹XSS漏洞,第8章介紹SSRF漏洞,第9章介紹XXE漏洞,第10章介紹反序列化漏洞,第11章介紹中間件漏洞,第12章介紹解析漏洞,第13章介紹數據庫漏洞。
本書既適合作為高校網絡空間安全、信息安全、網絡工程等相關專業的教材,也適合作為網絡空間安全研究人員的基礎讀物。隨著新技術的不斷發展,作者今後將不斷更新本書內容。
本書主要由閔海釗編寫,參與編寫的人員有李江濤、張敬、劉新鵬,參與校閱書稿的人員有張燕飛、王萌。本書的完成離不開作者的親人和朋友的支持。在此我要感謝父母的養育之恩,是他們含辛茹苦把我養育成人;感謝參與編寫和校閱的同事和朋友;感謝公司和領導對我的培養,給我成長、鍛煉的機會;感謝清華大學出版社的編輯,他們給了我很多專業的建議和幫助;感謝所有對本書做出貢獻的人,沒有他們的付出和支持,本書不可能面世。
特別說明: 本書中使用的每一個URL或者IP地址都是作者自己搭建的測試環境地址,如果與已有的域名或者IP地址重復,純屬巧合。本書相關的漏洞示例代碼和相關工具的下載方式統一放在清華大學出版社官網的本書頁面。
本書大部分內容是作者利用業餘時間在實踐的基礎上編寫的。由於時間倉促,書中難免存在疏漏和不妥之處,歡迎讀者批評指正。
不忘初心,方得始終。
閔海釗2019年6月