本書贊譽

隨著網(wǎng)絡(luò)安全成為數(shù)字化時代不可缺少的基石，安全行業(yè)也進(jìn)入了精細(xì)化發(fā)展的時代，每一個領(lǐng)域都在細(xì)分和深入，對人的要求也在不斷提高，其中Web安全領(lǐng)域就是一個典型。早期階段Web安全工程師可以不懂代碼，只需要了解原理、會使用工具，就可能找到一份不錯的工作，但也正是因為門檻低，導(dǎo)致競爭激烈。那么如何差異化，如何進(jìn)入專家領(lǐng)域？代碼審計無疑是一個很好的方向。破曉團(tuán)隊寫的這本書，從環(huán)境的搭建、工具的使用，再到漏洞審計原理分析，最后結(jié)合業(yè)務(wù)場景，可幫助你全面地了解Web代碼安全審計，獲得技能提升。

何藝　完美世界資深安全總監(jiān)

代碼審計的自動化分析工具在審計效率方面有較大優(yōu)勢，但如今人工代碼審計工作仍十分普遍，其結(jié)果的精確度和質(zhì)量不容小覷。代碼審計是網(wǎng)絡(luò)安全從業(yè)者必備的技能，而深入學(xué)習(xí)代碼審計的相關(guān)知識，更是安全研究人員進(jìn)一步提高安全技能的重要手段。這本書用通俗易懂的語言，根據(jù)不同的漏洞類型，由淺入深地對大量代碼審計的實戰(zhàn)案例進(jìn)行了深入剖析，還引入了代碼審計在業(yè)務(wù)安全方面的分析方法，可以幫助讀者快速提升常見場景下的功能交互與易錯邏輯審計能力。作者結(jié)合自己在代碼審計領(lǐng)域深耕多年的經(jīng)驗與技巧，較系統(tǒng)地梳理出代碼審計中漏洞挖掘的思路與漏洞利用方法，所介紹的內(nèi)容貼合代碼審計工作中經(jīng)常遇到的場景與問題，因此具有較強的實戰(zhàn)指導(dǎo)作用。對入門學(xué)習(xí)代碼審計者、安全從業(yè)人員以及軟件開發(fā)人員都有較高的學(xué)習(xí)和參考價值。

姜海　北京丁牛科技CTO

代碼審計是軟件開發(fā)和網(wǎng)絡(luò)攻防領(lǐng)域既基礎(chǔ)又至關(guān)重要的一項技術(shù)，專業(yè)的代碼審計人員可以發(fā)現(xiàn)軟件設(shè)計、開發(fā)和應(yīng)用等各個階段存在的安全漏洞，從而保障代碼庫和軟件架構(gòu)的安全性。K神（孔韜循）是國內(nèi)網(wǎng)絡(luò)安全領(lǐng)域年輕的“老專家”，對安全攻防理解透徹，是知名網(wǎng)絡(luò)安全組織“破曉團(tuán)隊”的創(chuàng)始人，他樂于分享知識、培養(yǎng)人才，最重要的是能夠把各類安全技術(shù)梳理得邏輯清晰，同時兼具獨到見解。這本書簡潔明了，干貨滿滿，是非常適合代碼審計技術(shù)學(xué)習(xí)者閱讀的實戰(zhàn)指南。

魯輝　中國網(wǎng)絡(luò)空間安全人才教育聯(lián)盟秘書長

代碼審計是漏洞挖掘中最快速、最有效的漏洞挖掘方式。本人以前挖掘的0Day漏洞都是從代碼審計入手的，現(xiàn)在在甲方也是采用這種方式快速挖掘漏洞，收獲頗豐。本書從最基礎(chǔ)的環(huán)境搭建開始，再逐步分析漏洞成因，給出漏洞代碼示例，構(gòu)造出PoC，給出修復(fù)建議，形成閉環(huán)，既有深度又有廣度，最后擴(kuò)展到業(yè)務(wù)安全，值得深入學(xué)習(xí)。

廖新喜　快手Web安全負(fù)責(zé)人

代碼審計是在甲方安全工作中不可繞開的流程和環(huán)節(jié)，也是整個安全SDL流程中不可或缺的重要部分。雖然各公司近幾年在IAST建設(shè)方面采取了很多建設(shè)和落地措施，但代碼審計仍然是解決線上存量應(yīng)用安全問題最快速、最完整的方式。這本書較為完整地覆蓋了常見的應(yīng)用層漏洞檢測及代碼審計知識點，尤其是在業(yè)務(wù)安全方面，系統(tǒng)化地介紹和梳理了常見的業(yè)務(wù)安全問題，對于剛開始涉及這方面工作的讀者來說是一個很好的參考，推薦給大家。

羅詩堯　新浪微博安全總監(jiān)

萬物互聯(lián)時代，網(wǎng)絡(luò)技術(shù)正逐漸全面地融入人們的生活，與之配套的網(wǎng)絡(luò)安全行業(yè)也在如火如荼地發(fā)展，大量公開的安全漏洞利用工具、開源代碼使網(wǎng)絡(luò)安全技術(shù)入門顯得非常輕松，然而安全行業(yè)是一個入門容易精通難的行業(yè)，安全專家人才仍然存在大量缺口，只知其然而不知其所以然的腳本小子與安全專家的區(qū)別在于對漏洞利用的原理是否理解。這本書理論和實踐并重，以實際漏洞利用過程為主線來詳細(xì)講解漏洞原理，而不只是簡單地重復(fù)各種工具的使用，做到了授人以魚更授人以漁，對于網(wǎng)絡(luò)安全初學(xué)者和進(jìn)階讀者都不失為一部佳作。

李均（selfighter）　DEFCON GROUP 86010發(fā)起人，GoGoByte創(chuàng)始人

代碼安全一直是信息安全的重要組成部分，本書系統(tǒng)全面地介紹了常見漏洞的代碼審計技術(shù)，梳理了企業(yè)最關(guān)注的業(yè)務(wù)場景并且做了具體分析，非常適合新人、代碼審計工程師和甲方安全工程師學(xué)習(xí)。

駱政　深信服安全服務(wù)交付主管

這本書從代碼審計的基礎(chǔ)環(huán)境開始講解，讓讀者能夠在掌握代碼審計基礎(chǔ)的同時，先構(gòu)建代碼審計思維，再以實戰(zhàn)為例，從審什么漏洞到如何審計，再到怎樣以不變應(yīng)萬變，逐步剖析，并結(jié)合案例加深讀者理解，最后回顧業(yè)務(wù)安全方面的審計，以白盒視角從代碼層面去研究業(yè)務(wù)層面的漏洞，是一本適合想要學(xué)習(xí)代碼審計又想快速上手漏洞挖掘的讀者閱讀的好書。

馬坤　四葉草信息安全公司CEO

代碼審計是網(wǎng)絡(luò)攻防實戰(zhàn)的高級技能之一。本書舍棄了枯燥的理論講解，從一線專家實戰(zhàn)出發(fā)，介紹了代碼審計的方法與流程，剖析了代碼審計過程中常見的漏洞，復(fù)現(xiàn)了漏洞攻擊過程，提出了應(yīng)對漏洞的審計與修復(fù)建議，是一本實用的指導(dǎo)書。對于希望在網(wǎng)絡(luò)攻防領(lǐng)域再進(jìn)一步的從業(yè)者以及想邁入網(wǎng)絡(luò)安全產(chǎn)業(yè)的學(xué)習(xí)者來說，都極具參考價值。

皮開元　湖南合天智匯副總經(jīng)理

代碼審計是網(wǎng)絡(luò)安全領(lǐng)域的核心技能，但以前一直未有我“心儀”的著作可以參考，而現(xiàn)在這本由圈內(nèi)四位技術(shù)大咖聯(lián)合撰寫的著作，無疑將填補這一空白，可謂網(wǎng)絡(luò)安全圈子之幸事。

任曉琿　十五派（15PB）安全教育創(chuàng)始人&CEO

少年郭靖不論如何勤奮努力，習(xí)武進(jìn)展均收效甚微，被師傅們篤定天資太差。直到他遇到真正的啟蒙老師馬鈺，馬道長評價“教而不明其法，學(xué)而不得其道”，并傳授了他一些內(nèi)功法子。郭靖經(jīng)過兩年不懈練習(xí)，打下了深厚的內(nèi)功根基，再學(xué)其他功夫便“豁然開朗”，最終成長為一代武學(xué)大師。如果你在學(xué)習(xí)網(wǎng)絡(luò)安全的道路上也遇到了瓶頸，本書可能正是你的“內(nèi)功”啟蒙老師，書中通過翔實的案例，帶你進(jìn)入代碼安全領(lǐng)域，讓你從“知其然”升華到“知其所以然”，并掌握代碼審計技術(shù)。非常推薦有志于深入學(xué)習(xí)網(wǎng)絡(luò)安全知識的讀者研讀。

王珩　清華藍(lán)蓮花戰(zhàn)隊創(chuàng)始團(tuán)隊成員，網(wǎng)絡(luò)安全漏洞門戶（vulhub.org.cn）創(chuàng)始人

代碼審計是網(wǎng)絡(luò)攻防實戰(zhàn)的核心技術(shù)之一，這本書從環(huán)境建設(shè)、實戰(zhàn)剖析、業(yè)務(wù)安全三個維度展開，是作者及其團(tuán)隊多年一線實戰(zhàn)經(jīng)驗的精華凝結(jié)。尤其是對SQL注入、跨站腳本、跨站請求、文件類型、代碼和命令執(zhí)行等漏洞的分析闡述與實戰(zhàn)分析，具有重要的學(xué)習(xí)指導(dǎo)意義和實戰(zhàn)指引價值。

王忠儒　中國網(wǎng)絡(luò)空間研究院信息化研究所副所長

代碼審計能力是安全能力體系的重要組成部分。本書凝結(jié)了作者團(tuán)隊多年的心血，通過典型案例，深入淺出地講述了代碼審計的環(huán)境構(gòu)建、漏洞發(fā)現(xiàn)和安全剖析，對于從事安全工作的初學(xué)者來講，具有很好的指導(dǎo)作用。

薛繼東　電子六所網(wǎng)絡(luò)安全所副所長

代碼審計可以算得上是網(wǎng)絡(luò)安全攻防領(lǐng)域的一門“內(nèi)功”，講究對代碼的深入理解。本書通過大量的實戰(zhàn)案例，帶你走進(jìn)PHP代碼審計的演武場，領(lǐng)略一線專家多年積累下來的精湛技藝。

楊坤　長亭科技聯(lián)合創(chuàng)始人

代碼審計是多數(shù)應(yīng)用安全從業(yè)者入門的第一步。本書全面介紹了代碼審計的基本方法和常見漏洞的審計方法示例，講解了業(yè)務(wù)邏輯類漏洞的審計方法，是對應(yīng)用代碼審計介紹得最全面的安全書籍之一，將對安全知識初學(xué)者和應(yīng)用安全從業(yè)者起到重要的指導(dǎo)作用。

張歐　螞蟻集團(tuán)網(wǎng)商銀行CISO

一直以來，安全領(lǐng)域并不缺少好的書籍，但它們通常起點較高，對于那些急切想要入門的新手來說并不是很友好，他們需要的往往是基礎(chǔ)的東西，而本書正好能夠滿足這一需求。書中從最基礎(chǔ)的搭建審計環(huán)境開始，結(jié)合作者多年的審計經(jīng)驗以及實際審計案例，詳細(xì)地講述了漏洞的原理、各種漏洞審計技巧以及相應(yīng)的調(diào)試方法，一步一步地引導(dǎo)初學(xué)者步入代碼審計的大門。本書在注重基礎(chǔ)的同時，還分享了很多寶貴經(jīng)驗，非常建議新手從本書開始，開啟你安全世界的大門。

張瑞冬（Only_guest）　成都無糖信息CEO

學(xué)習(xí)網(wǎng)絡(luò)安全漏洞攻防技術(shù)，我們要“知其然”，更要“知其所以然”。如果說漏洞利用工具的使用是“知其然”，那么通過代碼審計分析出漏洞的原理細(xì)節(jié)就可以說是“知其所以然”了。代碼審計可通過從代碼層面學(xué)習(xí)分析別人發(fā)現(xiàn)的漏洞原理，再總結(jié)各種漏洞模型，最終成功挖掘?qū)儆谧约旱?day目標(biāo)，我想這本書就是一個入門的好機會。

周景平（黑哥）　知道創(chuàng)宇首席安全官&404實驗室總監(jiān)

很榮幸能為這本書寫贊譽，也很感謝孔兄給大家?guī)砣绱素S富的代碼安全營養(yǎng)套餐。

本書內(nèi)容“劍走偏鋒”，跳出了傳統(tǒng)安全三板斧的套路，從底層展示了代碼審計技術(shù)和代碼審計業(yè)務(wù)安全管理的結(jié)合。縱觀安全態(tài)勢，無論是紅藍(lán)對抗還是傳統(tǒng)意義上的攻防，戰(zhàn)場早已延伸至每個隱蔽的角落，其中最重要的一點就是代碼，希望本書能為企業(yè)精準(zhǔn)安全代碼建設(shè)提供更精細(xì)化的指引，也希望每一位讀者都能從本書中獲取想要的知識，梳理出一條清晰的“線索”。最后預(yù)祝本書大賣，快速迭代新版本，持續(xù)輸出優(yōu)質(zhì)內(nèi)容。

張坤　智聯(lián)招聘安全負(fù)責(zé)人，OWASP北京負(fù)責(zé)人

代碼審計技能是網(wǎng)絡(luò)安全時代的一門新手藝，掌握這門手藝并不容易。本書通過實際案例，從工具、審計思路、漏洞原理、復(fù)現(xiàn)利用、代碼分析、修復(fù)建議等方面深入淺出地剖析常見的代碼安全問題，抽絲剝繭地還原代碼審計過程，是安全服務(wù)、安全開發(fā)等相關(guān)人員的必備書籍。

曾裕智　漏洞盒子安全服務(wù)總監(jiān)

本書內(nèi)容源于實踐，經(jīng)過了相對體系化的梳理，使讀者能夠進(jìn)行深入的分析與鍛煉，為技術(shù)提升提供有益的指導(dǎo)和參考，對安全領(lǐng)域從業(yè)者是一份很好的參考資料。

周群　360政企安全集團(tuán)安服中心總經(jīng)理

這本書的作者和我是多年“戰(zhàn)友”，他們也是始終“戰(zhàn)斗”在代碼審計一線的大咖。本書通過大量的真實場景，帶領(lǐng)大家跨過代碼審計的門檻，使得漏洞挖掘這種晦澀難懂的技術(shù)變得通俗易懂。書中針對大家感興趣的Payload編寫、漏洞利用進(jìn)行了著重講解，對于想在Web方向有更大突破的小伙伴，這本書會是不錯的選擇。

詹鑫（67626d）　暗影安全團(tuán)隊核心成員，國內(nèi)頂尖工控安全專家

隨著互聯(lián)網(wǎng)的迅速發(fā)展，網(wǎng)絡(luò)安全問題開始被重視，網(wǎng)絡(luò)安全代碼審計工作也變得格外重要。這本書最大的亮點在于結(jié)合具體的案例進(jìn)行剖析，具有非常強的引導(dǎo)性與可操作性，思路清晰，有利于新手學(xué)習(xí)。

周坤（曲終人散）　中國網(wǎng)安三零衛(wèi)士工控安全實驗室負(fù)責(zé)人，IRT工控安全團(tuán)隊聯(lián)合創(chuàng)始人