学习信息安全推荐什么课外书

背景

• 近期有的同学课上老师讲的内容太少了，自己对信息安全感兴趣，问有什么信息安全相关课外书可以推荐？本文对此进行解答，排名不分先后。

• * 除了看书以外，还需要真的花时间实践。譬如参加每年的护网活动，参加漏洞赏金活动（如上报漏洞到ASRC）或者自己加入信息安全社团。安全圈子诱惑很多，注意价值观和能抵得住诱惑，不要误入歧途加入黑产。

白帽子讲Web安全（纪念版）

• 信息安全入门书。书中剖析各种漏斗原理及攻防之道，既有原理分析，也有实践指导，是一本该行业从业者或是对WEB安全技术有兴趣者值得读读的书，一般看到讲安全的书，一种是讲信息安全理论体系的。书中讲了很多故事，让人容易接受。

• 虽然新技术有演变，但是其本质原理是类似的；对于书中案例的理解，可以配合着ASRC等应急响应中心实践。
• 
  

黑客攻防技术宝典-Web实战篇（第2版）

• 信息安全入门书，面向从0-0.5的安全工程师。由于是从国外翻译的书籍，有些翻译偏生硬，遇到看不懂的情况可以把关键词（如漏洞类型放到Google中再搜索）。

• 里面介绍的都是基础攻防知识，在最后会介绍一份渗透测试方法论。回答的问题是：给你一个新网站，你会从哪些维度和步骤逐步渗透和hack掉它。方法论让你在渗透过程中变得不是单纯凭借经验，而是有理论的指导。

• 曾经被某同事命名为“吃饭用的书”，可见对此书评价之高。

黑客攻防技术宝典-系统实战篇（第2版）

• 信息安全二进制入门书，面向从0-0.5的安全工程师，同样是由易至难。

• 虽达不到“漏洞挖掘”的难度，至少一些毫无防备的基础漏洞模式都能介绍全面。

Web安全之机器学习入门

• Web安全 + 机器学习的入门书；里面的内容是基础中的基础，由于太简单了，导致工作上不一定能用得上。

• 但是如果你觉得信息安全很难或者信息安全很神秘，并且有志于学习机器学习，那么从这本书开始入门是你不二之选。

Spring Boot2精髓

• 本书不是讲安全技术的，但是如果不知道“开发童鞋为什么经常写出漏洞”，而是单纯研究“怎么挖掘新漏洞”，很可能会走火入魔，攻击与防御从来不分家。

• 编程基础是基本功，不能拔苗助长。