社会工程：安全体系中的人性漏洞

本书共15章，包括理论篇、技术篇和实践篇。理论篇首先介绍从事网络安全工作涉及的相关法律法规，请大家一定要做一个遵纪守法的白帽子，然后介绍业务安全引发的一些安全问题和业务安全测试相关的方法论，以及怎么去学好业务安全。技术篇和实践篇选取的内容都是这些白帽子多年在电商、金融、证券、保险、游戏、社交、招聘、O2O等不同行业、不同的业务系统存在的各种类型业务逻辑漏洞进行安全测试总结而成的，能够帮助读者理解不同行业的业务系统涉及的业务安全漏洞的特点。

首先本书聚焦于互联网行业的企业级安全解决方案、架构、方法论和建设思路，关于单点技术，市面上已经有很多书，所以本书内容大多不会围绕单点技术来讲，而是希望读者看完之后找到企业安全整体建设的那种感觉。即便是一个甲方安全工程师，也能从中学到互联网公司安全负责人的知识和视野，并以此为导航，逐步积累自己所需要的知识和技能，向更高的层级发展。

本书是作者推出AI+安全畅销书《Web安全之机器学习》之后又一力作。本书首先介绍如何打造自己的深度学习工具箱，包括TensorFlow、TFLearn等深度学习库的安装以及使用方法。接着介绍卷积神经网络和循环神经网络这两大深度学习算法的基础知识。特别着重介绍在生产环境搭建深度学习平台需要使用的开源组件，包括Logstash、Kafka、Storm、Spark等。随后讲解了11个使用机器学习技术解决实际安全问题的案例，包括验证码识别、垃圾邮件识别、负面评论识别、骚扰短信识别、Linux后门检测、恶意操作行为检测、Webshell检测、智能扫描、DGA域名检测、恶意程序分类识别、反信用卡欺诈。本书针对每一个算法都给出了具体案例，理论结合实际，讲解清晰，文笔幽默，适合有信息安全基础知识的网络开发与运维技术人员参考。

本书由浅入深、全面、系统地介绍了当前流行的高危漏洞的攻击手段和防御方法，并力求语言通俗易懂，举例简单明了，便于读者阅读、领会

《黑客攻防技术宝典.Web实战篇（第2版）》是探索和研究Web 应用程序安全漏洞的实践指南。作者利用大量的实际案例和示例代码，详细介绍了各类Web 应用程序的弱点，并深入阐述了如何针对Web 应用程序进行具体的渗透测试。本书从介绍当前Web 应用程序安全概况开始，重点讨论渗透测试时使用的详细步骤和技巧，最后总结书中涵盖的主题。每章后还附有习题，便于读者巩固所学内容。　　第2 版新增了Web 应用程序安全领域近年来的发展变化新情况，并以尝试访问的链接形式提供了几百个互动式“漏洞实验室”，便于读者迅速掌握各种攻防知识与技能。　 《黑客攻防技术宝典.Web实战篇（第2版）》适合各层次计算机安全人士和Web 开发与管理领域的技术人员阅读。

《XSS跨站脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书，总共8章，主要包括的内容如下。第1章 XSS初探，主要阐述了XSS的基础知识，包括XSS的攻击原理和危害。第2章 XSS利用方式，就当前比较流行的XSS利用方式做了深入的剖析，这些攻击往往基于客户端，从挂马、窃取Cookies、会话劫持到钓鱼欺骗，各种攻击都不容忽视。第3章 XSS测试和利用工具，介绍了一些常见的XSS测试工具。第4章 发掘XSS漏洞，着重以黑盒和白盒的角度介绍如何发掘XSS漏洞，以便帮助读者树立安全意识。第5章 XSS Worm，讲解了Web 2.0的最大威胁——跨站脚本蠕虫，剖析了Web 2.0相关概念和其核心技术，这些知识对于理解和预防XSS Worm十分重要。第6章 Flash应用安全，就当前的Flash应用安全做出了深入阐述。第7章 深入XSS原理，讨论一些比较深入的XSS理论。第8章 防御XSS攻击，介绍了一些防范XSS攻击的方法，例如，运用XSS Filter进行输入过滤和输出编码，使用Firefox浏览器的Noscript插件抵御XSS攻击，使用HTTP-only的Cookies同样能起到保护敏感数据的作用。　　《XSS跨站脚本攻击剖析与防御》适合网站管理人员、信息/网络安全或相关工作从业者、软件开发工程师，以及任何对Web安全技术感兴趣的读者。