经典啊经典，WEB安全审计人员必看

更新，豆瓣上的内容过时了，原先7美元1小时的实验室没有了，取而代之的是portswigger网络安全实验室，地址就是portswigger也就是burpsuite的官网，会找吧？ 这个实验室是免费的！免费！要是你看了豆瓣上过时的东西就放弃配套线上实操的话那可真是可惜。

我看了采访，不出第三版了，原因就是因为这个网络安全线上学院作为替代。顺便说一下，这本2012年的书其中有一些漏洞和攻击技巧有点落后了，过时了。但是过时不代表不要学，就好像你要上到三楼，先得到达二楼吧？就这个道理。

新实验室目前也在摸索的阶段。有空更

---------------------------------------------------------------------------------------------------------------------------------

真乃奇书也。因为是大名鼎鼎的Burp创始人和他的团队写的，这本书实际上是burpsuite pro从入门到精通，书里面的实例全部是用burp工具完成的。从另一个方面来说可以叫burpsuite pro广告手册，因为此书表面上装的客观公正全面，实际上但凡涉及到其他工具的介绍总要插一句burp最好，各种好，便宜好用功能全性能优。然而书中对burp工具的详细使用一笔带过，主要着墨点在实例解释上。这才是进阶安全人员所需要的好吗？

本书几乎涵盖了web渗透的所有。并且详略得当，主次分明。而且还经常提及很偏僻很有用的冷知识，这些奇技淫巧如果我没看这本书的话可能一辈子都不会知道。经典值得反复看，我打算再看第二遍。信息量实在太大了。

最后批评一下豆瓣装比犯，国外计算机技术书籍是不是95%的书下面都有骂翻译的？基本上只要是外国人写的，豆瓣er都要叫嚣一下翻译太差，要看原版云云，先不论有几个人看得懂全英语，这本书的翻译算是很良心了，大部分内容都没什么问题，有一小部分可能要琢磨一下，只有极少数是需要对照英文原版看的并且这些句子本身就复杂，我也能谅解。书里面有不少小错误，不过总体来说不影响阅读。之前那本计网自定向下也是，明明翻译的瑕不掩瑜还要抠字眼，能看得懂意思不就行了吗，我真是服了这些人，而且那本自顶向下也是本身有难度，要反复看反复揣摩才行的。

我很怀疑那些喷翻译的人到底看不懂是因为翻译问题还是自己的水平不够，因为这书明显对读者的水平要求比较高，零基础绝对不推荐看。书里只有一丁点涉及到基础知识部分的，它基本上就是默认读者会web基础，tcp/ip协议，包括前端的html javascript和后端的php sql语句。有一定门槛。

之后再更新，主要谈渗透心得