本书是作者结合18年来在计算机安全教育和研发方面的经验编写而成的。本书涵盖计算机和网络空间安全的基础知识，包括应用软件安全、Web安全和网络安全。本书旨在帮助读者了解各种各样的攻击和防御的思想与原理。通过本书，读者可以养成良好的安全思维习惯，正确评估计算机和网络所面临的风险，提升发现和攻破软件及系统安全漏洞的能力，并提高设计实现软件的能力及系统防御能力。本书最大的特点是理论与实践相结合。对于每个涉及的理论，本书都使用一系列实验帮助读者加深对理论的理解，目的是让读者得到亲身体验。这些实验是作者花费16年心血精心设计的，它们已经在世界各地被广泛使用。
本书适用于学生、计算机科学家、计算机工程师、程序员、软件开发人员、网络和系统管理员以及其他对计算机安全感兴趣的读者，可作为本科和研究生的计算机安全教材，也可作为自学者提高计算机安全技能的学习材料。

杜文亮，1993年从中国科学技术大学获得学士学位（软件专业），1996年从佛罗里达国际大学获得硕士学位。1996-2001年在普渡大学计算机系攻读博士，并于2001年获得博士学位（计算机安全方向）。毕业后，成为雪城大学（Syracuse University）的助理教授。目前是该校电气工程与计算机科学系教授（终身教授），同时也是浙江大学客座教授。2001年开始一直为本科生和研究生讲授计算机安全和网络安全课程。为了让学生获得动手实践的机会，从2002年起开始研发动手实验，目前已开发30多个名为SEED的动手实验。这些实验目前广为人知，全球有1000多所学校正在使用或已经使用过这些实验。2010年，美国国家科学基金会在递交给国会的报告中把SEED项目作为一个模范项目。该报告名为《新挑战，新战略：在本科STEM教育中追求卓越》，它挑选了“在全国STEM教育中尖端的具有创造力的17个项目”。2017年，由于SEED实验的影响力，获得第21届信息系统安全教育大会颁发的“学术领导”奖。2019年，被雪城大学授予Meredith教授名誉。这是一个终身的名誉，是雪城大学教学奖。在计算机和网络安全领域的研究兴趣主要集中在系统安全方面。研究成果曾10次获得美国国家科学基金会奖，也曾获得一次Google公司的研究奖。先后发表100多篇论文。截至2019年10月，论文总被引用数超过14600次（基于GoogleScholar）。2003年在ACM-CCS学术会议上发表的一篇论文于2013年获得该会议颁发的时间测试奖（Test-of-TimeAward）。该奖项颁发给10年前在该会议上发表的有影响力的文章。目前的研究重点是智能手机安全性，在Android（安卓）的设计和实现中发现了许多操作系统内部存在的安全问题，并开发了新的机制来增强智能手机的系统安全性。

第1部分 软件安全
第1章 Set-UID特权程序原理及攻击方法
1.1 特权程序存在的必要性
1.1.1 密码困境
1.1.2 不同类型的特权程序
1.2 Set-UID机制
1.2.1 超人的故事
1.2.2 特权程序的工作原理
1.2.3 一个Set-UID程序的例子
1.2.4 Set-UID机制的安全性
1.2.5 Set-GID机制
1.3 可能出现的问题：超人的遭遇
1.4 Set-UID程序的攻击面
1.4.1 用户输入：显式输入
1.4.2 系统输入
1.4.3 环境变量：隐藏的输入
1.4.4 权限泄露
1.5 调用其他程序
1.5.1 不安全的方式：使用system（）
1.5.2 安全的方式：使用execve（）
1.5.3 用其他语言调用外部命令
1.5.4 经验教训：隔离的原则
1.6 最小特权原则
1.7 总结
动手实验
习题
第2章 通过环境变量实现攻击
2.1 环境变量
2.1.1 如何访问环境变量
2.1.2 进程获取环境变量的方式
2.1.3 环境变量在内存中的位置
2.1.4 shell变量和环境变量
2.2 环境变量带来的攻击面
2.3 通过动态链接器的攻击
2.3.1 静态和动态链接
2.3.2 案例分析：LD_PRELOAD和LD_LIBRARY_PATH
2.3.3 案例分析：OSX动态链接器
2.4 通过外部程序进行攻击
2.4.1 两种调用外部程序的典型方式
2.4.2 案例分析：PATH环境变量
2.4.3 减小攻击面
2.5 通过程序库攻击
案例分析：UNIX中的Locale程序
2.6 通过程序本身的代码进行攻击
……
第2部分 Web安全
第3部分 网络安全