前言

為實施國家安全戰略，加快網絡空間安全高層次人才培養，2015年6月，“網絡空間安全”已正式被教育部批準為國家一級學科。

網絡空間安全的英文名字是Cyberspace Security。早在1982年，加拿大作家威廉·吉布森在其短篇科幻小說《燃燒的鉻》中創造了Cyberspace一詞，意指由計算機創建的虛擬信息空間。Cyberspace在這里強調計算機愛好者在游戲機前體驗到交感幻覺，體現了Cyberspace不僅是信息的簡單聚合體，也包含了信息對人類思想認知的影響。此后，隨著信息技術的快速發展和互聯網的廣泛應用，Cyberspace的概念不斷豐富和演化。2008年，美國第54號總統令對Cyberspace進行了定義：Cyberspace是信息環境中的一個整體域，它由獨立且互相依存的信息基礎設施和網絡組成，包括互聯網、電信網、計算機系統、嵌入式處理器和控制器系統等。

網絡空間既是人的生存環境，也是信息的生存環境，因此網絡空間安全是人和信息對網絡空間的基本要求。另一方面，網絡空間是所有信息系統的集合，而且是復雜的龐大系統，人在其中與信息相互作用、相互影響。因此，網絡空間安全問題更加綜合、更加復雜。

網絡空間安全涉及面很廣，如何通過書籍的形式把最想要表達的內容與知識呈現給廣大讀者，并且如何把理論與實踐緊密結合在一起，深入淺出，讓讀者體會到網絡空間安全實際與我們每個人的生活息息相關。這是本書所要深入考慮的問題。

由于作者參與研發的在線會議系統直接面向國際市場，典型客戶包括世界著名的銀行、金融機構、IT業界、通信公司、政府部門等，這使得作者早在十多年前就可以接觸國際上最前沿的各類網絡空間安全攻擊方式，研究每種攻擊方式會給網站或客戶可能帶來的損害，以及針對每種攻擊的最佳解決方案。

由于Web的開放與普及性，導致目前世界網絡空間70%以上的安全問題都來自于Web安全攻擊，所以本書的選材更偏向Web安全。多年來，作者一直活躍在各種Web安全問題的解決方案上，力圖從系統設計、產品代碼、軟件測試與運營維護多個角度全方位打造安全的產品體系。雖然在網絡空間安全領域“破壞總比創建容易”，編者也曾為尋找某類攻擊最佳解決方案碰到過許多挫折，但在網絡空間安全求真求實的路上從不忘初心，令人欣慰的是，這世上“方法總比困難多”。

本書偏動手實驗與實訓，與之配套的 《網絡空間安全技術》 偏理論與技術研究。

《網絡空間安全技術》 包括三大篇章：1.技術原理；2.安全攻擊；3.安全防護。不僅有各種常見安全問題出現的原理，還有攻擊是如何產生的，以及最重要的是如何防護各種攻擊。同時有大數據、人工智能方面的安全應用，安全法律法規等，有深度防御、總體防御、安全開發生命周期SDL、連續監測與主動防御等。該書試圖用一個完整的體系和最新的技術來構建安全的網絡空間體系，該書官網及配套資料下載地址：http://books.roqisoft.com/isec。

《網絡空間安全實驗教程》 從國內國際排名最高的各種攻擊的定義、產生原理、攻擊方式、可能產生的危害等入手，每章都配有攻擊成功案例與復現方法，對于這些案例只需要讀者能上網就可以進行實驗，本書官網及配套資料下載地址：http://books.ro-qisoft.com/psec。

《網絡空間安全實驗教程》 篇章安排：

第1章 注入攻擊實訓

第2章XSS與XXE攻擊實訓

第3章 認證與授權攻擊實訓

第4章 開放重定向與IFrame框架釣魚攻擊實訓

第5章CSRF/SSRF與遠程代碼執行攻擊實訓

第6章 不安全配置與路徑遍歷攻擊實訓

第7章 不安全的直接對象引用與應用層邏輯漏洞攻擊實訓

第8章 客戶端繞行與文件上傳攻擊實訓

第9章 弱與不安全的加密算法攻擊實訓

第10章 暴力破解與HTTP Header攻擊實訓

第11章HTTP參數污染/篡改與緩存溢出攻擊實訓

第12章 安全集成攻擊平臺Burp Suite實訓

第13章 安全滲透測試工具ZAP實訓

本書每章除有經典攻擊成功案例供讀者練習外，還有目前國內外已經發生的同類安全漏洞披露，讓讀者體會到網絡空間安全實際就在身邊，同時配有擴展訓練習題，以指導讀者深入地進行學習。

為保持本書與其配套教材的連貫性，書中所有章節安排與選材，以及實驗都由王順完成。

由于時間倉促，書中難免存在不妥之處，請讀者原諒，并提出寶貴意見。

編者