第 1章 初探門徑 ——Web應用程序基礎理論 1
1.1　Web應用程序是怎樣煉成的　1
1.2　程序員是如何開發Web應用程序的　6
1.2.1　Web程序的分層結構　7
1.2.2　各司其職的程序員　8
1.3　研究Web應用程序的“利器”　11
1.3.1　黑盒測試類工具　11
1.3.2　白盒測試類工具　13
1.4　小結　14

第　2章 登堂入室 ——Web服務器與負載均衡　15
2.1　羅馬不是一天建成的　15
2.2　眾人拾柴火焰高——集群技術　17
2.2.1　集群技術的核心——負載均衡算法　18
2.2.2　實現負載均衡的設備　19
2.2.3　集群的高可用性　21
2.2.4　負載均衡設備的部署　22
2.2.5　集群擴展實例　23
2.3　用LVS實現負載均衡　25
2.3.1　DR模式　26
2.3.2　TUN模式　26
2.3.3　NAT模式　27
2.3.4　FULL NAT模式　28
2.4　保證負載均衡設備的高可用性　28
2.5　基于OpenResty的負載均衡方案　32
2.6　使用TOA溯源真實IP　33
2.7　小結　34

第3章　禍起蕭墻 ——HTTPS和CDN的安全問題　35
3.1　服務器與瀏覽器溝通的橋梁——HTTP　35
3.1.1　HTTP的工作原理　36
3.1.2　HTTP的缺陷　37
3.2　以安全為目標的HTTPS　38
3.2.1　HTTPS的工作原理　38
3.2.2　針對HTTPS的攻擊　39
3.2.3　HSTS的工作原理　40
3.2.4　針對HSTS的攻擊　41
3.3　CDN相關的概念　43
3.3.1　HTTP范圍請求　45
3.3.2　DDoS攻擊　47
3.3.3　放大攻擊　47
3.4　RangeAmp攻擊　48
3.4.1　小字節范圍（SBR）攻擊　49
3.4.2　重疊字節范圍（OBR）攻擊　50
3.5　小結　52

第4章　四戰之地 ——Web服務的安全因素　53
4.1　Web服務所面臨的威脅　53
4.2　Web服務安全的外部環境因素　54
4.2.1　操作系統的漏洞　55
4.2.2　服務器應用程序的漏洞　66
4.2.3　Docker的缺陷　69
4.3　Web服務安全的內部代碼因素　71
4.3.1　常見的Web程序漏洞　71
4.3.2　Web漏洞測試程序（以PHP DVWA為例）　73
4.3.3　命令注入（Shell Injection）的成因與分析　76
4.3.4　文件包含漏洞的分析與利用　82
4.3.5　上傳漏洞的分析與利用　88
4.3.6　跨站請求偽造漏洞的分析與利用　92
4.3.7　XSS的分析與利用　96
4.4　Web服務安全檢測工具（靜態代碼審計和動態檢測）　100
4.4.1　信息搜集工具　100
4.4.2　漏洞掃描工具　102
4.4.3　Web安全掃描工具　103
4.4.4　代碼審計工具　104
4.5　小結　105

第5章　道高一尺 ——如何保護Web服務　106
5.1　WAF基礎知識　107
5.1.1　WAF簡介　107
5.1.2　反向代理機制　108
5.1.3　DDoS防護與WAF的區別　110
5.1.4　反爬蟲防護與WAF的區別　110
5.1.5　WAF的工作原理　110
5.2　Lua語言基礎　115
5.2.1　Lua保留字　115
5.2.2　變量與數據結構　115
5.2.3　控制結構　116
5.2.4　函數聲明與調用　117
5.2.5　正則表達式　121
5.3　WAF的規則編寫　122
5.3.1　XSS攻擊攔截正則　122
5.3.2　SQL注入攔截正則　123
5.4　高級攔截過濾規則　124
5.5　WAF的日志分析技術　126
5.5.1　C模塊日志擴展模塊　126
5.5.2　Lua的UDP日志發送　129
5.5.3　Kafka日志收集　130
5.5.4　在Conf中配置Syslog日志輸出　130
5.5.5　基于log_by_lua階段實現日志轉發　131
5.6　網關型WAF系統　132
5.6.1　安裝OpenResty　133
5.6.2　安裝Lapis　133
5.6.3　創建Lua Web應用　133
5.6.4　Lor框架　135
5.6.5　Orange網關　136
5.6.6　在云環境中部署Orange　140
5.6.7　Apache APISIX網關　144
5.7　流量鏡像與請求調度　147
5.7.1　流量鏡像與蜜罐系統的聯系　147
5.7.2　配置邏輯　148
5.7.3　動態切換上游（蜜罐）　149
5.8　動態跟蹤技術　151
5.8.1　保證網關的安全性　151
5.8.2　動態跟蹤技術　152
5.9　小結　153

第6章　魔高一丈 ——WAF可以讓我們高枕無憂嗎　154
6.1　入侵者如何檢測WAF　154
6.1.1　網站有無WAF保護的區別　154
6.1.2　檢測目標網站是否使用WAF　155
6.1.3　檢測目標網站使用的WAF產品　158
6.2　入侵者如何繞過云WAF　161
6.3　常見的WAF繞過方法　163
6.3.1　利用WAF的檢查范圍　164
6.3.2　WAF與操作系統的解析差異　165
6.3.3　利用WAF與服務器應用程序的解析差異　170
6.3.4　編解碼技術的差異　172
6.3.5　其他常用方法　175
6.4　小結　176

第7章　有跡可循 ——Web日志審計　177
7.1　Web服務的日志聚合　178
7.1.1　KafkaCat安裝　178
7.1.2　Nginx和OpenResty日志配置　179
7.1.3　用KafkaCat發送日志　180
7.2　Kafka數據隊列服務安裝　180
7.2.1　Kafka安裝與配置　180
7.2.2　Zookeeper安裝與配置　184
7.2.3　創建索引并測試　186
7.3　NxLog　187
7.3.1　NxLog安裝　187
7.3.2　NxLog配置　187
7.4　Graylog　189
7.5　日志自動化取證分析　198
7.6　小結　204

第8章　太公釣魚，愿者上鉤 ——蜜罐技術　205
8.1　蜜罐技術簡介　205
8.2　蜜罐的部署　208
8.2.1　Python環境安裝　208
8.2.2　安裝PIP　208
8.2.3　安裝VirtualEnv　208
8.2.4　創建Python虛擬環境　208
8.2.5　安裝OpenCanary　209
8.2.6　蜜罐系統配置管理　209
8.2.7　蜜罐服務分析　209
8.2.8　啟動蜜罐系統　214
8.3　常見的蜜罐服務　215
8.3.1　HTTP　216
8.3.2　FTP　217
8.3.3　SSH　218
8.3.4　Telnet　218
8.3.5　MySQL　219
8.3.6　Git　219
8.3.7　NTP　220
8.3.8　Redis　220
8.3.9　TCP　221
8.3.10　VNC　221
8.3.11　RDP　222
8.3.12　SIP　223
8.3.13　SNMP　223
8.3.14　Nmap　224
8.3.15　SYN探測　225
8.3.16　FIN　225
8.3.17　XmasTree　226
8.3.18　Null　227
8.3.19　MSSQL　228
8.3.20　HTTPProxy　228
8.4　虛擬蜜罐技術與擴展　229
8.5　蜜罐運維管理　234
8.6　蜜罐流量監聽技術與實現　236
8.6.1　基于C與Pcap實現的流量分析工具　236
8.6.2　創建蜜罐監聽　237
8.6.3　編寫Makefile　239
8.6.4　核心API解析　239
8.6.5　數據源插件　243
8.6.6　過濾插件　245
8.6.7　日志輸出插件　246
8.7　用交換機端口聚合技術實現蜜罐部署　247
8.7.1　交換機端口聚合與蜜罐VLAN劃分　247
8.7.2　單物理網卡與多IP蜜罐實例監聽　248
8.7.3　案例1：捕獲內網服務發起的掃描行為　248
8.7.4　案例2：勒索病毒軟件監控　249
8.7.5　收集攻擊payload數據　249
8.7.6　日志中心與威脅報警　250
8.7.7　蜜罐系統的監控與運維　251
8.8　小結　252

第9章　眾擎易舉 ——大數據時代的Web安全　253
9.1　正常URL與惡意URL　254
9.2　傳統的惡意URL檢測方法　256
9.3　當URL檢測遇上機器學習　257
9.4　深度學習框架　258
9.5　URL的向量表示　259
9.6　基于LSTM的惡意URL識別模型　261
9.7　URL識別模型與WAF的結合　264
9.7.1　自動威脅日志采集　265
9.7.2　Sklearn大數據環境　267
9.7.3　大數據建模實踐　269
9.8　小結　271

第　10章 步步為營 ——網絡安全解決方案　272
10.1　通過命令注入漏洞進行滲透　273
10.1.1　攻防系統結構　273
10.1.2　DVWA的反彈Shell操作　275
10.1.3　日志與數據中心　276
10.2　基于DSL的攔截檢查防御　278
10.2.1　DSL與小語言OpenResty EdgeLang　278
10.2.2　基于OpenResty EdgeLang的攔截檢查　280
10.3　基于語義分析庫的威脅攻擊分析　282
10.3.1　語義分析原理　282
10.3.2　libInjection語義分析庫　283
10.3.3　開源語義分析庫的局限　283
10.4　基于神經網絡的威脅建模手段　284
10.4.1　規則泛化　284
10.4.2　數據神經網絡　284
10.5　跟蹤Shell反彈執行進程　285
10.5.1　System動態跟蹤技術　285
10.5.2　OpenResty YLang語言　287
10.5.3　火焰圖與動態跟蹤　289
10.5.4　OpenResty YSQL語言　290
10.6　小結　292