2023-12-02 15:44:26 AnQuanKeInfo 来源：ZONE.CI 全球网 0 阅读模式

当你觉得为时已晚的时候，恰恰就是最早的时候。

——致那些一直从未放弃梦想的安全从业者们

2017年马上就要结束了，我们为各位安全客们总结了12本信息安全书籍，其中6本属于经典书籍推荐，另外6本则是在本年度中出版的好书，供大家年末学习充电。

参与文末的留言活动，获取新年大礼吧~（从12本书籍中任选一本+一箱赣南脐橙）

中奖名单公布

本次活动共有16名小伙伴中奖，快来看看有没有你吧！中奖的小伙伴可以发送自己的联系电话、邮寄地址以及自己想要的书籍（12本中的一本）到邮箱[email protected]，我们的工作人员会与您取得联系~！

用户id：园园

推荐书籍：《漏洞战争:软件漏洞分析精要》

推荐理由强烈推荐《漏洞战争:软件漏洞分析精要》这本书，《漏洞战争:软件漏洞分析精要》以精心挑选的经典漏洞为例，以分享漏洞的分析技巧和工具为主，对这些漏洞的成因、利用及修复方法进行详细讲解，以各种类型的经典漏洞作为实战讲解，摒弃空头理论，几乎是”一本用调试器写出来的书”。

用户id：！

推荐书籍：《恶意代码分析实战》

推荐《恶意代码分析实战》这是本全面的恶意代码分析技术指南，从理论到实践，从不同方面为读者讲解恶意代码分析的实用技术方法。这本书一步一个台阶地帮助初学者从零开始建立起恶意代码分析的基本技能。

用户id：the warm 。

推荐书籍：《web安全深度剖析》

对我来说，影响最深的不是《黑客攻防技术宝典》、《白帽子讲WEB安全》等等这些赫赫有名的”圣经“，而是张炳帅老师的《web安全深度剖析》。最开始的时候，我很迷茫，不懂http协议，也不懂HTML，不知道web安全是些什么东西。但是这本书从最简单的开始，介绍了http协议，再介绍了相关的安全工具的用途以及如何使用。虽然接下来介绍的的各种漏洞没有能很详细的剖析，但是它好在覆盖的范围广，让我这种小白能对web安全有一个整体的认知，让我有了自己对这个领域的理解。真的很感谢这本书！！（PS：下面那个一模一样的评论是我写的，刚才忘记登录了，现在登录再发一遍。希望编辑能够看过来~）

用户id：半杯墨水

推荐书籍：《Metasploit渗透测试魔鬼训练营》

非常喜欢《Metasploit渗透测试魔鬼训练营》这本书，所以我特别推荐此书。本书以讲故事的方式讲解安全技能，将读者带入一个神秘的世界。学习渗透最重要的方法就是实践，本书帮助读者搭建实验环境，教读者如何搜集情报，教读者如何应用注入技术，能够为读者掌握各种渗透技术提供最大帮助。这是这本学习渗透技术不可多得好书！

用户id：sherlly_666

推荐书籍：《Reverse engineering for begginner》

推荐Dennis Yurichev的《Reverse engineering for begginner》简称RE4B 国外大神写的，一本很不错的逆向入门书，讲得很详细，全英文，啃下来会是一笔不错的收获。另：据说人邮买了中文版权，目前还没有出版消息…

用户id：F0rM_Ev3r

推荐书籍：《Web安全深度剖析》

《Web安全深度剖析》只谈感受吧，web相比较二进制简单一点，但是作为绝对零基础入门，还是有点难度的，最起码得协议、前端等一系列知识也是要有的，不用太细，太细的可以以后慢慢学。这本书就是有这么一个好处，有一些必备的基础知识。零基础好入门，简单入门，入门以后可以再继续拓展知识面……就是一个好的引路书

用户id：隐匿依旧为王

推荐书籍：《漏洞战争：软件漏洞分析精要》

《漏洞战争：软件漏洞分析精要》这是我推荐的书不知道大家是否曾有过这样的经历：无法读懂网上很多软件漏洞分析文章，不理解里面的漏洞成因漏洞利用技巧。即使读懂某篇软件漏洞分析文章，自己仍无法独立完成相同漏洞的分析。如果文章中所使用的测试环境与软件版本跟自己使用的不一样，则顿时更不知如何入手。很多软件漏洞分析文章贴出存在漏洞的汇编代码，指出导致漏洞的原因，即“结论式分析”，但如何定位到此段代码并无解释，看完之后，仍不知如何快速定位，缺乏可借鉴的思路。带着这些问题，相信会这本书中找到想要的答案。而这本书比《Oday安全：软件漏洞分析技术》更难更深刻完全是以真实的漏洞为实例以分享漏洞分析时的一些技巧，以漏洞类型的不同来分享不同的漏洞分析技巧，可以说是“用调试器写出来的一本书”，而且综合考虑当前热门的移动安全，特意加入 Android平台上的漏洞分析章节，从Java层、Native层和内核层等方向分享不同的调试分析方法，可以搭配在一起来学习。 PS：刚刚发表的忘记登录的所以重新发表一次但是看到推荐里面介绍的已经有这本书了不知道还能不能获奖真心觉得这本书不错奔着礼物来的希望能获奖

用户id：shuteer

推荐书籍：《黑客秘笈——渗透测试实用指南1-2》、《渗透测试实践指南-必知必会的工具和方法》

第一本，《黑客秘笈——渗透测试实用指南1-2》我最喜欢的书，没有之一，虽然不厚，单是全是干货，务实不啰嗦，made in USA。市场上口碑最佳的渗透测试图书，美国亚马逊排名长期位居第一，纸质英文版销量过17000册，电子版销量过7000份。作者对问题的描述，总是能一针见血的搓到关键痛处，没有拖沓感觉。在一个用足球比赛的视觉框架引导下，读起来更有画面感和方向感。从经典的问题入手，抛砖引玉，触及到的问题也都是距离人们最近的棘手问题，作者不只简单的传授工具怎么用，而且将问题背后的原理，影响危害，关键的处理问题的原则娓娓道来，可以说这是一本谈渗透的书，也无不在书中透露着黑客的思想结晶。而且，作者在处理某一个问题时，给出了不同的对比解决方案，这么做其实更能开阔人的思维，对同一问题应用不同的工具解决方案，更侧面的将作者深藏多年的隐藏技能，展现在我们面前，有了这些思路原则，再针对之后遇见的问题，我们更就能举一反三，及时应对安全世界里千变万化的问题，多角度，多思路。第二本，《渗透测试实践指南-必知必会的工具和方法》，虽然介绍的工具有些或许已经过时或者有更好的替代工具，但是介绍的渗透测试的流程和思路对自己很有帮助。比如信息收集、主机扫描、端口扫描、漏洞扫描、漏洞利用、后漏洞利用、提权、后门、rootkit等等，利用上一本书搭的虚拟机环境，把流程和介绍的工具都走了一遍，对一些概念和思路都逐渐清晰起来。

用户id：GeekPwn

推荐书籍：《黑客大追踪—网络取证核心原理与实践》、《加密与解密》

推荐书籍一《黑客大追踪—网络取证核心原理与实践》以往的取证书籍大多介绍的是文件系统分析，都是基于单机平台的取证，而这本书介绍的是网络世界的取证，例如数据流分析，网络设备（路由器、交换机、防火墙等）的取证，无线网络取证等。全书以几个真实的案例为开端，把读者带入一个神秘的网络取证世界。推荐书籍二《加密与解密》第三版，这本书的第四版马上也要出了，不过听作者说似乎变化不是很大，如果说上本书是网络取证方向的一本经典书籍，那这本就是逆向破解方向的一本经典书籍，书中介绍了静态和动态分析技术，PE文件格式、脱壳、补丁、代码二次开发等。

用户id：QQ61915125

推荐书籍：《黑客攻防技术宝典.Web实战篇（第2版）》、《Metasploit渗透测试指南》、《Metasploit渗透测试魔鬼训练营》、《sql注入攻击与防御，企业级WEB代码安全架构，javascript dom编程艺术》

推荐《黑客攻防技术宝典.Web实战篇（第2版）》我看过电子版的，很厚的一本书，讲的也很全面，还推荐《Metasploit渗透测试魔鬼训练营》，不过感觉没有《Metasploit渗透测试指南》写的通俗易懂，不过胜在以故事的形式介绍教学这个号称能hack整个星球的神器。因为本人主要的学习方向是WEB渗透测试，所以其他的书没有看过，所以不好评论，另外还有一些书值得推荐《sql注入攻击与防御，企业级WEB代码安全架构，javascript dom编程艺术》。以上书籍都是本人看过并诚意推荐！希望能抽到《流畅的Python》，因为现在正在学习Python，我不要脐橙，给我书就行，谢谢了！

用户id：飞机会飞行

推荐书籍：《无线电安全攻防大揭秘》

推荐《无线电安全攻防大揭秘》作者：杨卿，黄琳，张婉桥，单好奇，李均喜欢这本书是因为作者有我爱的大神杨卿哥哥和黄琳姐姐。我学的专业电子信息所有通信系统都存在安全问题，通信系统安全问题涉及设备安全、内容安全和防护安全等，各种安全措施伴随着通信和网络技术的发展而发展，特别是当今互联网技术的发展引发的安全问题越来越突出。无线电的安全问题也越来越受到政府、企业和公众的关注。伪基站、非法广播电台，已经真实地影响到普通老百姓的生活。并且，随着软件无线电技术的发展，无线通信协议的实现成本变得越来越低，这意味着攻击的门槛也变得越来越低。《无线电安全攻防大揭秘》这本书，涵盖当前常见各种无线通信系统的安全问题。协议分析结合攻防实例，深入介绍安全攻防技术。案例题材囊括物联网、车联网、移动通信、卫星导航及相关的软硬件安全。内容讲解深入浅出、通俗易懂、可读性强。本书既适合从事无线电安全领域的技术人员阅读，对无线电安全方面感兴趣的一般读者也可以通过本书对该领域有初步的了解。

用户id：黯夏子风

推荐书籍：《Android应用安全防护和逆向分析》

推荐《Android应用安全防护和逆向分析》，理由：这本书虽然是四哥新出的，但是我已经看了快一半了，满满的干货，讲解由浅入深，是逆向分析的好书。从静态分析到动态调试，从脱壳到防护，各个方面都讲的比较细致，通俗易懂，书里面每一个知识模块都是用实例来讲解，让读者理解更加透彻，上手更加效率。

用户id：Mask

推荐书籍：《0day安全软件漏洞分析技术》、《漏洞战争》

推荐《0day安全软件漏洞分析技术》，二进制入门绝对的好书，由浅入深，一般能看懂汇编和c就能跟着书动手干了，满满的干货，可惜绝版了，不过网上有电子版，纸质版可能要自己去印，然后可以和泉哥的《漏洞战争》一起看，《0day》更多的是基础的理论，《漏洞战争》则有作者大量的分析与经验分享，这本书还没绝版，也推荐

用户id：童话里都是骗人的

推荐书籍：《Metasploit渗透测试魔鬼训练营》

推荐书籍：《Metasploit渗透测试魔鬼训练营》推荐理由：要说推荐一本我读过的安全圈好书，那我一定会推荐这本《Metasploit渗透测试魔鬼训练营》，不要看这本书中的案例稍有陈旧，BT5也早已不更新。作为一个初学者，通过这本书可以了解到渗透测试的方方面面，从完整的渗透测试流程、到单点的漏洞分析，以及一些社会工程学技巧。可以之间从实验环境中获得渗透的快感，又可以从漏洞分析中补充原理知识，举一反三。这是一本作为初学者不可不读的好书，感谢诸葛老师的创作，墙裂推荐！！！ PS：祝安全客在新的一年中红红火火，祝安全客的师傅们工作顺利！

用户id：Edward

推荐书籍：《白帽子讲Web安全》

推荐《白帽子讲Web安全》没有攻不破的系统，只有还没攻破的系统，有多少条路可以通罗马，大概就有多少种攻克之道。书中一一剖析各种漏斗原理及攻防之道，既有原理分析，也有实践指导，是一本该行业从业者或是对WEB安全技术有兴趣者值得读读的书，一般看到讲安全的书，一种是讲信息安全理论体系的，基本可以当作大学信息安全教材使用；另一种就是小菜鸟黑客最为喜爱的介绍如何组合使用几个黑客工具，获得对MM加密的QQ空间的访问权限。这本书特点之一是详细枚举了各种存在的攻防技术，及其技术前世今生，作为阿里巴巴公司安全架构师，书中所述实践性强。作者对安全技术系统性的梳理和分析，也体现西安交大高材生深厚功底。凯文凯利在其《技术元素》一书描述：技术在博弈中不断进步，垃圾邮件>反垃圾邮件>反反垃圾>反反反…无穷尽也。WEB攻防技术亦然，只是作为一名开发开发人员，我们应该尽量做到自己提交的代码或者产品具有最好的安全性，不然就不能怪别人鄙视你了！ XSS、XSRF、Cookie劫持、SQL注入、点击劫持、钓鱼、DDOS攻击一项项技术酸甜苦辣、五味杂陈。刚才在看“楞镜”事件，突然意识到一个问题，想要绝对的安全是遥不可及的，即使你有最先进的技术，最牛逼的人员，系统固若金汤，但是网络设备、线路都是别人的，甚至互联网顶级CA体系页并不是绝对可信（唉，不好说）。在世外桃源你或许可以绝对安全，但是出来混，你如何能保证得了呢？

用户id：广岛秋泽

推荐书籍：《智能汽车安全攻防大揭秘》

《智能汽车安全攻防大揭秘》针对汽车研发人员介绍了一些安全基础知识，如加密解密、安全认证、数字签名、常见攻击类型和手段等，然后针对安全研究人员介绍了一些智能汽车的工作原理，如汽车的内网协议、网络架构、X-By-Wire线控系统原理、常见潜在攻击面等，最后对一些实际的汽车攻击或安全测试案例进行详细分析，并在分析过程中对案例里涉及的漏洞进行防御分析。《Python绝技：运用Python成为顶级黑客》 Python是一门非常容易上手的脚本语言，相比perl语言，在简单的语法学习之后，便可以事半功倍的满足日常需求。对于白帽子来说，也是一门必须掌握的语言。

2017年新书系列

流畅的Python

作者介绍：Luciano Ramalho，从1998年起就成为了Python程序员。他是Python软件基金会的成员，Python.pro.br（巴西的一家培训公司）的共同所有者，还是巴西众创空间Garoa Hacker Clube的联合创始人。他领导过多个软件开发团队，还在巴西的媒体、银行和政府部门教授Python课程。
安道，专注于现代计算机技术的自由翻译，译有《Flask Web 开发》《Python 网络编程攻略》《Ruby on Rails 教程》等书。
吴珂，现为Airbnb公司软件工程师，所在团队主要负责开发和维护各类可伸缩、高性能服务，并在Airbnb内推广面向服务的系统架构。在分布式系统、云存储服务和跨平台SDK开发，以及大规模数据处理等方面有多年经验。

推荐理由: 本书由奋战在Python开发一线近20年的Luciano Ramalho执笔，Victor Stinner、Alex Martelli等Python大咖担纲技术审稿人，从语言设计层面剖析编程细节，兼顾Python 3和Python 2，告诉你Python中不亲自动手实践就无法理解的语言陷阱成因和解决之道，教你写出风格地道的Python代码。

macOS软件安全与逆向分析

作者介绍：丰生强，网名非虫，独立软件安全研究员，zi深安全专家，ISC2016安全训练营独立讲师，有着丰富的软件安全实战经验。自2008年起，在知名安全杂志《黑客防线》上发表多篇技术文章，从此踏上软件安全道路，常年混迹于国内各大软件安全论坛。著有畅销安全图书《Android软件安全与逆向分析》。

邢俊杰，zi深程序员，软件安全爱好者，C++ Web框架Cinatra开发者，对编译器与调试器开发有着深入的研究。现就职于国内某互联网公司。业余时间喜欢研究软件与系统的底层，热爱读书与动画。

推荐理由：本书深入介绍了macOS系统的软件安全、逆向分析与加密解密技术，主要包括macOS软件的开发基础、macOS系统工作机制、macOS软件调试接口与机制、二进制程序的格式、反汇编技术、逆向与动态调试技术、反破解技术以及系统安全与反病毒。

Web安全之机器学习入门

作者介绍：刘焱百度安全Web防护产品线负责人，负责百度安全的Web安全产品，包括防DDoS、Web应用防火墙、Web威胁感知、服务器安全以及安全数据分析等，具有近十年云安全及企业安全从业经历，全程参与了百度企业安全建设。研究兴趣包括机器学习、Web安全、僵尸网络、威胁情报等。

推荐理由: 本书是国内首部机器学习应用于Web安全的作品，作者是百度安全专家，他用风趣幽默的语言诠释了超过15种的机器学习算法，及其在Web安全领域中的实际应用，非常实用，包括所有案例源代码，以及公开的测试数据，可极大地降低学习成本，使读者快速上手实践。

Android应用安全防护和逆向分析

作者介绍：姜维某知名互联网公司开发者，参与过多个移动App开发项目，对Android安全问题情有独钟，深入分析过Android源代码和各类移动应用病毒，逆向分析实战经验。

推荐理由：本书全面介绍Android应用的安全防护方法与逆向分析技术，分为四篇：基础篇、防护篇、工具篇、操作篇，共26章。本书有非常详细的案例讲解，也提供了大量的工具源码，是Android开发人员逆向学习研究的极好工具手册，可以帮助Android开发者成为更全面的Android高手。

物联网设备安全

推荐理由: 未来，数以几十亿计的互联在一起的“东西”蕴含着巨大的安全隐患。本书向读者展示了恶意攻击者是如何利用当前市面上流行的物联网设备实施攻击的，这些设备包括无线LED灯泡、电子锁、婴儿监控器、智能电视以及联网汽车等。如果你是联网设备应用开发团队的一员，本书可以作为一个指南，帮助你探讨如何建立安全解决方案。

智能汽车安全攻防大揭秘

作者介绍：360独角兽安全团队，在信息安全领域拥有极丰富的攻防经验、防护专利及研究成果，团队隶属于360安全研究院。团队专注于无线通信、智能设备、汽车、工业系统等新兴安全领域的攻防研究，是现今位列全球移动通信系统协会（GSMA）移动安全名人堂的安全团队。

推荐理由: 《智能汽车安全攻防大揭秘》首先针对汽车研发人员介绍了一些安全基础知识，如加密解密、安全认证、数字签名、常见攻击类型和手段等，然后针对安全研究人员介绍了一些智能汽车的工作原理，如汽车的内网协议、网络架构、X-By-Wire线控系统原理、常见潜在攻击面等，最后对一些实际的汽车攻击或安全测试案例进行详细分析，并在分析过程中对案例里涉及的漏洞进行防御分析。本书的特点是由浅入深，为读者提供详细的实际案例分析和防御建议。

经典好书系列

Metasploit渗透测试魔鬼训练营

作者介绍：诸葛建伟，国内信息安全领域的布道者，资深渗透测试技术专家，Metasploit领域的专家之一，实战经验非常丰富。在网络攻防、入侵检测、蜜罐、恶意代码分析、互联网安全威胁监测、智能终端恶意代码等领域都有深入的研究。

推荐理由: 《Metasploit渗透测试魔鬼训练营》是首本中文原创Metasploit渗透测试著作，国内信息安全领域布道者和Metasploit渗透测试专家领衔撰写，极具代表性。以实践为导向，既详细讲解了Metasploit渗透测试的技术、流程、方法和技巧，又深刻阐释了渗透测试平台背后蕴含的思想。

你不知道的javascript 上卷中卷

作者介绍：Kyle Simpson，推崇开放的互联网，对JavaScript、HTML5、实时/端对端通信和Web性能有深入研究。他是技术书作家、技术培训师、讲师和开源社区的活跃成员。

推荐理由: “你不知道的JavaScript”系列就是要让不求甚解的JavaScript开发者迎难而上，深入语言内部，弄清楚JavaScript每一个零部件的用途。本书介绍了该系列的四个主题：“作用域和闭包”、“this和对象原型”、“类型和语法”以及“异步和性能”。掌握了这些知识之后，无论什么技术、框架和流行词语，你都能轻松理解。

黑客攻防技术宝典 Web实战篇

作者介绍：Dafydd Stuttard，世界知名安全顾问、作家、软件开发人士。牛津大学博士，MDSec公司联合创始人，尤其擅长Web应用程序和编译软件的渗透测试。Dafydd以网名PortSwigger蜚声安全界，是众所周知的Web应用程序集成攻击平台Burp Suite的开发者。
Marcus Pinto，渗透测试专家，剑桥大学硕士，MDSec公司联合创始人。Marcus为全球金融、政府、电信、博彩、零售等行业组织和机构提供Web应用程序渗透测试和安全防御的咨询与培训。

推荐理由: 《黑客攻防技术宝典.Web实战篇（第2版）》是探索和研究Web 应用程序安全漏洞的实践指南。作者利用大量的实际案例和示例代码，详细介绍了各类Web 应用程序的弱点，并深入阐述了如何针对Web 应用程序进行具体的渗透测试。本书从介绍当前Web 应用程序安全概况开始，重点讨论渗透测试时使用的详细步骤和技巧，总结书中涵盖的主题。每章后还附有习题，便于读者巩固所学内容。

彻底研究：黑客编程技术揭秘与攻防实战

推荐理由：本书全面介绍了在Windows环境下使用SocketAPI开发各类黑客软件及系统安全防护工具软件的编程实现方法。在讲解细节上，本书循序渐进地向读者介绍了黑客攻击程序、安全防护工具、远程控制软件、网络安全管理软件的原理及具体编程实现方法，从当前热门的黑客软件和安全防护工具中选择典型案例，深入分析。

漏洞战争

作者介绍: 林桠泉，网络ID：riusksk、泉哥、林大夫，腾讯高级工程师，大学期间曾在著名杂志《黑客防线》发表技术文章30余篇，大五时获得“微软杯”ExploitMe 安全调试技术个人挑战赛二等奖。毕业后就职于腾讯安全应急响应中心（TSRC），主要从事安全应急响应工作，研究方向主要聚焦在软件安全、移动安全、Web安全等。

推荐理由：《漏洞战争：软件漏洞分析精要》系统地讲解软件漏洞分析与利用所需的各类工具、理论技术和实战方法，主要涉及Windows 和Android 系统平台。《漏洞战争：软件漏洞分析精要》根据不同的软件漏洞类型划分，比如堆栈溢出、沙盒逃逸、类型混淆、UAF、内核漏洞等，同时又针对当前流行的移动安全，加入Android 平台上的漏洞分析与利用。以精心挑选的经典漏洞为例，以分享漏洞的分析技巧和工具为主，对这些漏洞的成因、利用及修复方法进行详细讲解，旨在“授之以渔”。

Python绝技：运用Python成为顶级黑客

推荐理由：关于Python的书虽然已有不少，但从安全从业者角度全方位剖析Python的书籍几乎没有，本书填补了这个的空白：包含了渗透测试、Web分析、网络分析、取证分析以及利用无线设备等方面的Python攻防方法。无论你是从事安全研究的哪个方向，书中的大量深入浅出的案例分析均可以让你掌握有用的技能，快速上手编写代码，在工作中事半功倍，拓展视野、培养和锻炼自己的黑客思维。