# 译序 Web安全学院是PortSwigger推出的一个Web安全在线学习实验的平台,而PortSwigger就是流行Web安全工具Burp Suite背后的公司,其Web安全学院的前身是一本被誉为Web安全领域圣经的书籍《The Web Application Hacker's Handbook》(中文译作《黑客攻防技术宝典:Web实战篇》),这本书的作者也同样是Burp Suite的作者Dafydd Stuttard,也是Web安全领域的大师级人物。由于印刷书籍会慢慢地过时,PortSwigger表明不会再制作一本没有任何交互式内容的印刷书籍,也就意味着他们不会再发行《The Web Application Hacker's Handbook》的新版书籍,而是推出Web安全学院这种带有交互式漏洞,能够在线实践练习并实时更新的学习平台。 本人在校时曾有机会面向同学们培训Web安全的入门知识,当时对于培训材料的选择有两种方式,要么自己编写,要么找到一份公开的并且足够权威的资料集。如果材料全部由自己编写,这对提升自身技术水平是有好处的,但除非对自己的能力非常自信,否则不建议自己编写,所以那时就没有选择自己编写,也没有注意到Web安全学院,导致寻找收集资料走了很多弯路。后来留意到Web安全学院,发现其中涵盖了Web安全的各个方面,包括常见的漏洞,如SQL注入、跨站脚本和跨站请求伪造等,每个主题都以结构化的方式呈现,从基础知识开始,逐渐发展到更高级的技术,能够系统性的帮助初学者学习Web安全中常见的漏洞知识。 在安全领域,几乎所有人都深受开源社区和知识共享的巨大裨益,那么也就有回馈的必要性,回馈的方式不光可以是写开源工具,还可以将国外优质的学习资源引进国内。尤其对于初学者,工具可能会使他们沦为脚本小子,而这种文档化的学习资源正好能补齐他们在理论知识方面的欠缺。此外,从自身角度出发,翻译文章不仅能提升自身的英文水平,而且还可以重新温故一遍Web安全基础,这对于技术的提升仍然是有效的。 翻译的全部章节分为四大部分,第一部分是前篇Web应用程序安全测试,目的是在学习Web安全相关技术前,带读者先行了解Web应用程序与安全测试之间的关系,以及了解目前几种流行的Web应用安全测试方法和不同的用途。后三部分为正文部分,分别是服务器端主题、客户端主题、进阶主题,对于初学者而言,按照学习的难易程度,建议读者先从服务器端主题入手,依次往后。在阅读的过程中,理论的学习和实践的练习应是相辅相成的,读者可以相应的完成每一节对应的实验,通过在实践中应用所学的理论知识,探索和攻击漏洞来帮助学习者加深对Web安全的理解和技能的提升。 受本人的技术能力和翻译水平所限,翻译过程中难免会出现疏漏和错误,如果读者朋友们在阅读时觉得有不合适、不通顺甚至错误的地方,请到GitHub仓库反馈一个[Issue](https://github.com/0xf4n9x/Web-Security-Academy_zh/issues/new),我将感激不尽,您的参与将会使此项目变得更完善。 --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://web-sec.gitbook.io/wsa/preface.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.