前言 FOREWORD

为加快推进党的二十大精神和创新理论最新成果进教材、进课堂、进头脑，本书在网络空间安全的专业知识技能体系的基础上，强化了网络与信息安全保障的法律法规知识，帮助学生树立法治意识，培养遵纪守法的良好习惯。以鲜活的网络安全事件深入理解法治是国家治理体系和治理能力的重要依托，突显社会主义核心价值观的内涵，培养学生以全球视野观察安全发展态势的能力，提高共同维护国际社会网络安全的责任心。通过安全小课堂从专业层面融入网络与信息安全教育，增强学生安全意识，引导学生正确使用网络工具进行健康的网络交往，自觉参与清朗网络安全空间的营造。

网络空间安全形势日益严峻，但是网络安全技术相关的人才缺口却逐年增大。Web安全作为网络空间安全的一个重要组成部分，凭借其应用业务的广泛性和用户交互的友好性，成为很多网络安全技术初学者的首选领域。

本书遵循Web安全的学习和认知规律，整合Web安全相关的基础知识，合理选择开源渗透测试平台，精心设计不同的任务案例。读者通过本书的学习，可以快速地明确Web安全工作人员必须具备的法律法规知识；掌握Web安全开发必备的协议和编程基础；自主搭建开源渗透测试平台；熟练使用常见的Web渗透测试工具；完成OWASP TOP 10中主流漏洞的渗透测试并掌握其防护方法；实现主流CMS渗透测试的综合实战。

本书以国家职业技能标准为依据，以综合职业能力和素养提升为目标，以单元任务开展实训过程，以学生为中心，根据典型的Web渗透测试流程设计内容，将理论知识应用于任务实践过程，将育人元素融合在专业知识技能中，培养学生的职业技能和职业精神。本书的主要特点如下。

1.平台开源，可操作性强

渗透测试的平台的选择一直是Web安全初学者的难题之一。2017年6月1日起施行的《中华人民共和国网络安全法》规范了渗透测试的行为，明确了渗透测试的前提必须是得到客户的授权。本书采用开源的DVWA作为漏洞分析和防护的实战平台，在教会读者对平台的部署时，于每个任务中明确任务的实战环境，解决学习者的首要困扰问题。

2.内容完整，可学习性佳

结合高职高专学生的学习特点，本书设计循序渐进的知识结构和技能体系，以单元为导向、任务为驱动，在理论知识与技能实践相结合的过程中，突出渗透测试与防护实践的重要性，实现情境化教学。同时，在每个单元中结合专业知识，开展“安全小课堂”的宣讲，使素养教育与专业教学相得益彰，耦合育人。

3.教学做合一，可实施性高

本书根据各个单元的知识内容精心设计各种不同类型的实训任务，践行“教学做合一”的思想。在每个实训任务中，以学习成果为导向，将知识点分解到任务实现的步骤中进行讲解，使重难点内容更易于理解和掌握，真正实现“做中教”“做中学”，在实践中拓展学生的思维，提升学生的综合应用能力。

4.资源立体，可适用性广

本书基于“互联网+”新形态一体化教材的理念，配套丰富的立体化教学资源，包括教学课件、微课、课后拓展实训任务等。学生通过扫描书中二维码即可查看相应的视频，激发学生自主学习和操作实践。

本书的编写和整理工作由常州信息职业技术学院与中邮通建设咨询有限公司数字应用研究院（简称中邮通数字应用研究院）合作完成。其中，常州信息职业技术学院的教师团队根据多年信息安全技术应用专业教学的经验和各类专业竞赛的技术积累，完成本书的理论知识和案例的设计；中邮通数字应用研究院的网络安全工程师以该公司的实战案例为依据，为本书提供素材和体例的支撑。本书由常州信息职业技术学院虞菊花、乔虹担任主编，中邮通数字应用研究院顾丁烽、常州信息职业技术学院李建新担任副主编，常州信息职业技术学院胡丽英和吴敏君、中邮通数字应用研究院苏琰和边秋生参与了本书的编写。

由于编者水平有限，书中难免存在疏漏和不妥之处，敬请同行专家和读者批评指正。

编者

2023年3月