前言

目前国内书店关于脚本方面的书籍特别多，但这些书相对来讲理论性的知识偏多。更重要的这些书中介绍的例子，在安全性上都是漏洞百出，这样导致新学脚本的朋友写出来的程序同样是漏洞百出，典型的恶性循环。而当前主要讲述脚本程序漏洞的方面书籍却没有，所以《黑客手册》决定联合我出版《精通脚本黑客》一书。

《精通脚本黑客》是一本集合了脚本环境和黑客知识的网络安全基础教程，一个大的脚本环境下，介绍了网站入侵、各种常见脚本语言的基础学习、脚本程序漏洞分析与利用等内容。网站入侵方面是为没有多少入侵经验或对脚本环境下的入侵技术没有了解的朋友而准备；而各种常见脚本语言的基础学习是为没有脚本语言基础但已有一定入侵经验的朋友而准备；等有了前面的基础后就介绍如何在脚本程序中寻找各种漏洞并加以利用。本书的目的是用通俗的语言来讲述脚本环境下的各种安全问题，期间没有复杂的理论。

以下是本书的主题内容以及结构层次：

1、熟悉 ASP、PHP、JSP 网站的搭建。告诉你网站是如何被架构的，进而为后面分析脚本程序漏洞时，测试漏洞所用。

2、常见的各种脚本攻击技术。全面、细致的介绍脚本环境下的各种黑客技术，如 coookie欺骗、注入、跨站、文件包含、获取 webshell 及提权等等。让你可以轻松的入侵并控制一个网站服务器。

3、让你轻松入门学习 HTML、Javascript、VBscript 等客户端脚本语言，从而在本质上认识挂马、跨站等黑客技术，同时还有一些常见的脚本病毒的编写。

4、数据库学习。先介绍 SQL 语言的基础学习，为后面分析程序漏洞打下坚实的基础。同时介绍 SQL Server、MySQL 等数据库下的高级黑客技术。

5、ASP 下的黑客技术。先给大家讲解 ASP 基础，让大家能够看懂 ASP 程序。之后，就介绍 ASP 程序中常见的漏洞，教大家如何分析 ASP 程序中的漏洞，如注入、跨站等等，同时还介绍一些 ASP 木马编写技术。最后，还用两个分析完整程序漏洞的例子作为实践，增加一些实战经验。 6、PHP 下的黑客技术。先给大家讲解 PHP 基础，让大家能够看懂 PHP 程序。之后，就介绍 PHP 程序中常见的漏洞，教大家如何分析 PHP 程序中的漏洞，如注射、文件包含漏洞等

等，同时还介绍一些 PHP 木马编写技术。最后，还用两个分析完整程序漏洞的例子作为实践，增加一些实战经验。

7、JSP 下的黑客技术。先给大家讲解 JSP 基础，让大家能够看懂 JSP 程序。之后，就介绍

JSP 程序中常见的漏洞，教大家如何分析 JSP 程序中的漏洞，如源代码泄露、注入等等，同时还介绍一些 JSP 木马编写技术。最后，还用两个分析完整程序漏洞的例子作为实践，增加一些实战经验。

8、Web 2.0 下的黑客技术。因为技术是在发展的，目前 Web 2.0 已经逐渐成为脚本的一个焦点。所以介绍了 Web 2.0 的核心技术 XML 和 Ajax 的安全问题。

作者：曾云好，男，江西泰和人。对 windows 内核、软件漏洞技术、Web 安全都有广泛涉足，尤为擅长漏洞挖掘技术。联系 QQ：eskshell@gmail.com

致谢：

1、 在本书中我引用了一些非常优秀文章的内容，这里要特别感谢剑心、LCX、王炜、萍水相逢、非零解、elin、光芒果、Hak_BaN、罗秉琨、天涯衰草、小天等人，还有其他的引用详见具体的内容，都已做了详细的说明。正是由于引用了他们的文章，使得本书中例子更加具有代表性。而且在每一章的最后，我都列举出了参考资料，目的就是方便读者在以后的学习过程中方便查阅资料（因为我在写书的过程中我深深体会到了查阅资料的辛苦程度了啊）。

2、 还要感谢在学校里一直指导我学习的领导和老师。学习的过程中他们给了我很多帮助，在专业上给我指点谜津，给了我很多学习的经验，让我少了很多弯路。同时，在条件上也提供了很多，例如在寒假留在学校编写本书的时候，依然为我提供网络，使得本书的编写过程非常顺利。

3、 感谢编辑土豆，在和一起策划、一起构思的日子，让我学到了很多东西。

4、 最后，要感谢我的父母，在背后他们一直都是我坚定的支持者。