《Web應用安全權威指南》讀後有感

這本書前前後後讀了有一個多月了吧，中途還有一個國慶七天小長假，所以時間說長也長。也是第一次加入圖靈讀者群，在大家的互相監督下完成讀書任務，感覺很奇妙。前後打卡一天沒落下，最後應該是總天數第二。很感謝有這麼一個平臺，能地監督者我們的學習進度，還有眾多大佬的無私解答，讓我實實在在感受到了安全圈的自由與分享精神。 說了這麼多，下面就談談對這本書的一些感受以及自己的收穫吧。

讀過圖靈的日系書，比如圖解TCP/IP系列的，能感覺得到日本人寫作的風格與西方的差異。整體給人很嚴謹很仔細，有時可以說是有點囉嗦了，當然這並沒有任何的貶義。相反，這對於新手入門來說，是一大利好。新手入門往往充滿著敬畏與迷茫，如果上來就是各種大術語,高精尖的漏洞利用，往往會讓人望而生畏，失去繼續學習的動力。這本權威指南總的來說還是很不錯的，對Web漏洞這塊的講解翔實仔細，分類也是比一般的書更為精細，如果通篇讀下來，對Web漏洞的原理以及基本防範措施，基本能做到心中有數。

全書共分為8章，重點是第四章”Web應用的各種安全隱患“，我自己也是這章花的時間最多。前面的包括搭建環境，同源策略，HTTP協議這些都比較熟悉，所以很快地瀏覽完了。關於第四章的漏洞講解，我也基本上同時參照了所給的虛擬機器環境以及Fiddler，進行了同步的操作。原來對XSS SQL隱碼攻擊 CSRF這些都有過了解，但是僅限於一些簡單的構造和利用，對前後臺互動層面的原理不得而知，閱讀完這幾章之後，有了更加深刻的認知。當然深知這是不夠的，以後的打算是進一步深刻理解這些漏洞原理，通過Kali Linux的相關工具在實戰中聯絡這些漏洞的利用。同時工具不能僅限於使用，還要明白其底層原理。自己也同時在學習Python,準備重點是網路程式設計這塊，利用好自帶的安全的庫，嘗試寫一些工具指令碼。學習是一個循序漸進的過程，讀完一本書並不僅限於學到其中的知識，而是將原來一知半解的東西弄懂，並且對未來的學習路徑有了更清晰的認知。能夠調整節奏與方向，更好的完成知識積累，技術棧的完善。

當然，這本書也存在一些個人認為的缺陷。書是日本作家寫的，虛擬機器環境也是日文的，如今翻譯到國內了，虛擬機器應該也做相應的調整。滿眼的日文，確實是不太友好。希望日後能夠改善，為入門者提供一個更加和諧 友好的實戰環境。

以上是本人在讀罷《Web應用安全權威指南》的一些感受，個人所感，文筆與水平有限，望各位大佬多多指教。最後，感謝圖靈教育的幫助與支援，為各位安全入門的同學提供了這麼好的學習討論平臺，感恩！

V1nc3nt 於2017.10.26