WebSecurity 網站滲透測試：Burp Suite 完全學習指南（iT邦幫忙鐵人賽系列書） pdf epub mobi txt 电子书下载 2025

☆☆☆☆☆

高于凱

图书标签:

Web安全
渗透测试
Burp Suite
漏洞分析
网络安全
信息安全
iT邦帮忙
铁人赛
实战
Web应用安全

下载链接在页面底部

具体描述

動手實作！探索網頁安全與滲透測試，
從強大的安全測試工具Burp Suite入門。

　　「每一行寫下的Code，都讓我覺得自己札實的向前邁進了一步；每學會了一個新的攻擊手法，都讓我感受到成為駭客的夢不再是遙不可及。」 ──── 摘錄自序言

　　本書改編自第12屆IT邦幫忙鐵人賽，Security組佳作系列文章《Web滲透測試 - Burp Suite 完整教學》。本書宗旨在於對Web Security的測試工具Burp Suiter進行操作教學以及功能說明。

　　Burp Suite是許多資安人員耳熟能詳的工具，也無疑是資安圈Web安全測試中最受歡迎的工具。但大家真的了解Burp所能做到的事情嗎？本書將針對Burp的各項功能進行詳盡的介紹及教學，手把手的帶著大家動手熟悉Burp的操作使用，希望能藉由本書能讓大家徹底了解Burp這個Web安全測試工具。

　　內容亦不會限於純粹的工具操作介紹，遇到相對應的功能背後需要具備的知識時，也會加以說明介紹，畢竟技術的原理與知識才是在執行滲透測試時最重要的核心，工具則可用來協助或加速去完成我們的測試想法與思路，讓大家不會是一個只會操作工具的工具人。筆者本身於業界執行過許多滲透測試專案，也會於本書中分享實務上的小技巧與經驗。

本書特色

　　※從入門到精通
　　熟悉Burp中各項功能，例如Target、Proxy、Intruder、Scanner和Repeater，成為專業的網站滲透測試人員。

　　※從觀念到實作
　　扎實理解網頁安全測試中所需的知識與原理，正確的學習如何使用工具檢測WEB應用程式中的風險。

　　※從自動到手動
　　了解Burp當中各項自動化測試功能的原理與設定，並學會如何善加利用手動方式挖掘與驗證漏洞。

　　※從舊版到新版
　　涵蓋新舊版本Burp Suite的功能差異說明與介紹，提供給具有不同需求的測試人員。

專業推薦

　　作者在許多章節會趁機將自身在資安工作的經驗與讀者分享，包含了證照學習、工作注意事項和法律議題等，這些都是在生冷的技術文字中，透露出作者心裡的溫暖。技術之外，還有更多需要學習並搭配的知識，作者都在書裡作了分享。────HITCON 創辦人 | Tim Hsu 徐千洋

　　因 Web 系統摻雜了許多技術，並其架構有一定的複雜性，因此讓許多人在檢測 Web 安全時，往往不得其門而入。而此時本書將可成為您認識 Web 安全檢測的最佳指引。────恆逸教育訓練中心資深講師 | Vincent Tang 唐任威

　　本書是一個適合滲透測試人員、網頁開發與資安從業人員的書籍，無論你是初入資安的新手或是想要理解 Burp Suite 完整功能的工程師，都建議你立刻打開這本書展開你的學習旅程吧！────UCCU Hacker 共同創辦人、資安研究員 | John Thunder 姜尚德

网络安全实战：从基础防御到高级渗透的深度探索内容简介本书旨在为网络安全领域的研究者、渗透测试工程师、信息安全分析师以及希望深入了解网络攻防技术的技术人员，提供一套全面、系统且高度实战化的知识体系。全书聚焦于当前企业与个人信息系统中面临的主要安全威胁，并以防御与实战攻击的视角，深入剖析了多种关键技术和工具的应用。本书结构设计强调理论与实践的紧密结合，内容覆盖了从基础网络协议分析到复杂应用层漏洞挖掘的完整生命周期。我们不局限于单一工具的使用，而是致力于培养读者构建完整安全思维链的能力。第一篇：网络基础与环境构建本篇作为安全实践的基石，首先会详细回顾现代网络架构中必须掌握的核心概念。我们将深入探讨 TCP/IP 协议栈的细节，特别是数据包在不同层次上的构造与交互方式，这对于理解底层攻击与防御至关重要。网络协议深度解析：不仅仅停留在 OSI 七层模型概念的罗列，而是重点剖析 HTTP/HTTPS 协议在传输层、会话层以及应用层中的行为模式。我们将分析 TLS/SSL 握手过程中的安全机制、常见的密码学弱点，以及如何利用协议层面的误配置来暴露信息。安全环境搭建与隔离：详细指导读者如何搭建一个安全、合规且功能完备的渗透测试实验室。这包括虚拟化技术的选择（如 KVM、VMware 或 VirtualBox）与配置，不同操作系统（Kali Linux、Parrot OS 或定制化的 Windows 靶场）的部署策略。特别强调在隔离环境中进行高风险测试的必要性与技术规范，确保不对真实生产环境造成任何意外影响。基础设施扫描与信息收集：讲解如何高效地进行主机发现、端口扫描和版本识别。内容涵盖 Nmap 高级脚本（NSE）的应用，如何通过被动信息收集（OSINT）技术，从公开渠道挖掘目标系统的深层信息，包括子域名枚举、人员信息关联以及技术栈指纹识别。第二篇：Web 应用安全核心攻防技术这是本书的核心部分，聚焦于当前互联网应用中最普遍且最具破坏性的安全漏洞。内容覆盖了 OWASP Top 10 中最关键的几类威胁，并提供了详尽的原理分析和实战演练步骤。注入类攻击的精细化控制： SQL 注入（SQLi）：从基础的错误信息回显型注入，深入到盲注（时间延迟盲注、布尔盲注）的自动化脚本编写。重点分析各种数据库（MySQL, PostgreSQL, MSSQL）在函数和权限管理上的差异，以及如何利用存储过程和堆叠查询绕过安全限制。命令注入与代码执行：探讨操作系统命令注入（OS Command Injection）在不同服务端脚本语言（PHP, Python, Java）中的表现形式，以及如何通过输入校验的逻辑缺陷，实现远程代码执行（RCE）。跨站脚本（XSS）的高级变体：不仅覆盖反射型和存储型 XSS，更聚焦于 DOM 型 XSS 的分析。讲解如何利用客户端框架（如 React、Vue）的数据绑定机制发现新的注入点，以及如何构造复杂的 Payload 来绕过浏览器原生的 Content Security Policy (CSP)。访问控制缺陷与权限提升：深入分析垂直权限和水平权限的绕过技术。讲解不安全的直接对象引用（IDOR）的常见模式，以及如何通过修改 HTTP 请求中的参数、Header 或 Cookie 来冒充其他用户或获取管理员权限。服务端请求伪造（SSRF）的利用链：全面解析 SSRF 的不同类型，包括基于端口扫描的内网发现，以及如何利用 SSRF 漏洞与云服务元数据 API（如 AWS IMDSv1/v2）或内部服务接口（如 Redis、Elasticsearch）交互，实现敏感信息泄露或进一步控制。第三篇：身份认证、会话管理与业务逻辑安全本篇着重于应用层逻辑与用户交互层面的安全漏洞，这些漏洞往往需要更强的分析能力和对业务流程的理解。认证机制的攻防：详细剖析 JWT（JSON Web Token）的结构与签名机制，重点讲解如何发现并利用签名算法降级（如从 HS256 切换到 None 算法）或密钥泄露进行伪造。对传统 Session 机制中的 Cookie 安全属性（HttpOnly, Secure, SameSite）的滥用和绕过进行深入探讨。文件上传与反序列化漏洞：文件上传模块的安全配置分析，如何通过 MIME 类型检测绕过、文件头伪造或利用特定文件类型（如 SVG、PHAR）执行恶意代码。在反序列化部分，系统讲解 Java（如利用 Gadget Chains）和 PHP 中的常见反序列化链，以及如何构造恶意对象进行远程控制。业务逻辑缺陷挖掘：介绍如何识别那些不依赖于技术实现缺陷，而是源于对业务流程理解不足所导致的漏洞。例如，支付流程的超额购买、积分兑换的竞态条件（Race Condition），以及验证码机制的逻辑漏洞。第四篇：高级渗透技术与自动化本篇将读者的技能提升到自动化与复杂环境穿透的层面，为成为专业渗透测试人员做准备。自动化渗透测试框架的应用：探讨主流自动化工具的配置、扩展与定制化开发，学习如何编写自定义的自动化脚本来处理特定场景的漏洞检测，提高效率。内网渗透与横向移动：模拟真实企业环境，讲解如何从初始立足点（Initial Foothold）向内网深处渗透。内容包括对 Active Directory (AD) 基础架构的理解、Kerberos 攻击（如 Kerberoasting）、Pass-the-Hash 技术，以及如何利用 Windows 自身的管理工具（如 WMI、PsExec）实现横向移动。云环境安全基础：针对日益普及的云服务（AWS/Azure/GCP），讲解 IAM 权限模型、存储桶（Bucket）配置的安全风险，以及如何利用配置错误获取云资源权限。本书的编写风格力求严谨、清晰，每一章节都配有大量的代码示例、攻击流量抓包分析和防御建议，旨在确保读者不仅理解“如何攻击”，更能掌握“如何有效防御”的完整安全生命周期知识。

著者信息

作者簡介

高于凱(Kai,HackerCat)

　　資安技術社群NOP LAB共同創辦人、UCCU Hacker成員。專注在網頁安全(WebSecurity)與滲透測試(Penetration Testing)領域，也曾接觸機器學習、網頁爬蟲、雲端安全、DDoS等不同領域。熱衷於資安技術的研究、分享與交流，有架設個人網站「HackerCat 駭客貓咪」，亦有創建Youtube頻道分享資安技術與資源。

　　Blog: hackercat.org
　　Youtube: HackerCat
　　Twitter: @hackercat1215
　　Facebook: @hackercat1215

图书目录

|CHAPTER| 01 Burp 入門
1.1 甚麼是Burp Suite
1.2 甚麼是滲透測試
1.2.1 滲透測試 vs 弱點掃描
1.2.2 主機弱點掃描 vs 網站弱點掃描
1.2.3 弱點vs 漏洞
1.3 網站弱點掃描工具
1.3.1 Burp Suite
1.3.2 OWASP ZAP
1.3.3 HCL AppScan
1.3.4 Acunetix¬
1.3.5 Fortify WebInspect
1.3.6 Netsparker
1.3.7 N-Stalker
1.3.8 w3af
1.3.9 Nikto
1.3.10 Vega
1.3.11 Skip sh
1.3.12 Arachni
1.3.13 WPScan
1.4 滲透測試練習環境
1.4.1 滲透測試練習環境架設
1.4.2 線上滲透測試練習環境
1.4.3 滲透測試規範與認證

|CHAPTER| 02 基本功能 – Proxy
2.1 Proxy
2.1.1 無痛入門 - Burp與瀏覽器的Proxy設定
2.1.2 Proxy基本原理與監聽127.0.0.1
2.1.3 不安全的連線？HTTPS與SSL憑證
2.1.4 HTTP請求攔截與Proxy的各項功能

|CHAPTER| 03 基本功能– Target
3.1 Target
3.1.1 Target與Site Map了解整個網站架構
3.1.2 因為我已鎖定你 - 妥善利用Scope狙擊目標

|CHAPTER| 04 基本功能– Spider, Scanner
4.1 Spider
4.1.1 Spider網路爬蟲基礎概念
4.1.2 利用Spider功能進行網站探索
4.1.3 新版的Crawl整合與爬蟲設定
4.1.4 調整請求發送頻率
4.2 Scanner
4.2.1 Scanner網站弱點掃描Active vs Passive
4.2.2 利用Scanner發現網站中可能存在的風險漏洞
4.2.3 新版Scanner掃描任務與掃描設定
4.2.4 為何找不到漏洞

|CHAPTER| 05 基本功能 – Intruder
5.1 Intruder
5.1.1 暴力破解與列舉FUZZING找漏洞的好幫手
5.1.2 Intruder Attack type & Payloads - 擁有千種姿態的攻擊模式
5.1.3 如何觀察與判斷堆積如山的Intruder結果

|CHAPTER| 06 基本功能 – Repeater, Sequencer, Decoder, Comparer
6.1 Repeater
6.1.1 看似平凡卻最常被使用 - Repeater手動挖掘與驗證漏洞
6.1.2 為何使用Repeater而不使用瀏覽器驗證就好
6.1.3 Repeater選項設定
6.2 Sequencer
6.2.1 分析Session Cookie與Token規律性
6.2.2 Manual手動匯入要分析的樣本
6.3 Decoder
6.3.1 Decoder那些讓人看不懂的東西是甚麼
6.4 Comparer .261
6.4.1 Comparer大家來找碴，不如讓工具幫你解答

|CHAPTER| 07 基本功能 – Project & User Options
7.1 Project Options
7.1.1 專案的設定與測試紀錄儲存
7.1.2 TLS加密方式設定
7.2 User Options
7.2.1 關於使用者體驗

|CHAPTER| 08 進階Burp Suite功能與技巧
8.1 Find comments當個乖寶寶好好寫註解，我看你是沒有遇過壞人
8.2 記住了，在網路的世界裡只有IP是真實的
8.3 甚麼是HTTP方法？自動更換HTTP方法
8.3.1 HTTP方法
8.3.2 Change request method
8.4 Change body encoding繞過WAF偵測
8.5 Burp Suite已經提供給你了最便利的C2 Server
8.6 利用Sava item搭配Sqlmap檢測SQL注入漏洞
8.7 Generate CSRF PoC偽造跨站請求漏洞利用產生
8.8 Macros讓機器人幫你做事
8.8.1 繞過CSRF Token進行檢測

|CHAPTER| 09 Burp擴充功能
9.1 這些功能還不夠嗎？來開外掛吧！Burp Extender擴充功能
9.2 ActiveScan++ 提升Scanner的弱點掃描能力
9.3 利用Autorize測試角色權限區分與IDOR漏洞
9.4 Software Vulnerability Scanner識別軟體版本中的風險
9.5 Retire.js分析是否存在過舊的JS Library
9.6 利用HTTP Request Smuggler測試請求走私漏洞
9.7 SAML Assertions測試與XSW攻擊的好幫手SAML Raider
9.8 專注於J2EE平台安全測試的J2EEScan

版本差異
關於滲透測試，我想說的是

图书序言

ISBN：9789864348831
規格：平裝 / 352頁 / 17 x 23 x 1.81 cm / 普通級 / 單色印刷 / 初版
出版地：台灣

本書分類：電腦資訊> 網路/架站> 資訊安全/駭客/防毒

用户评价

评分☆☆☆☆☆

這本《WebSecurity 網站滲透測試：Burp Suite 完全學習指南》的內容組織方式，非常貼近真實的資安測試流程，讓我讀起來有種「這就是我平時在做的事」的熟悉感，但又學到了更高效的做法。它不像一些教科書那樣刻板，反而充滿了實戰的氣息。書中最讓我耳目一新的是關於被動掃描（Passive Scanning）的深入探討。許多人只會著重於主動攻擊，卻忽略了在 Proxy 模式下，Burp Suite 如何默默地幫我們收集大量資訊。作者詳盡地解釋了如何透過觀察流量、解碼參數，來識別出那些可能被動態注入的變數，即便沒有主動發送惡意請求，也能預先鎖定測試目標。這對於進行大範圍的資安健檢時，極大地提高了效率。再者，對於如何處理各種編碼和加密機制，書中的解說也相當到位。在處理如 JWT（JSON Web Tokens）或各種自定義的加密參數時，單靠手動可能非常耗時且容易出錯。這本書提供了許多使用 Burp Suite 內建或自訂功能的技巧，來快速地對這些複雜的資料結構進行編碼/解碼和重放測試，讓原本枯燥乏味的反覆操作變得更加直觀和可控。對於想要系統性提升自己滲透測試能力的台灣讀者，我認為這本書的價值在於它提供的「思維框架」。它不只是工具操作手冊，更是一套如何像專業人士一樣思考漏洞發掘流程的指導方針。書中不斷提醒讀者，工具只是輔助，真正的關鍵在於測試人員對應用程式邏輯的理解和假設。總結來說，這本鐵人賽系列書籍的深度和廣度都超出了我的預期。它成功地將 Burp Suite 這個複雜的巨獸，拆解成了一系列可理解、可操作的模組，並且用最貼近台灣使用者習慣的語言呈現出來。如果你想從「會用」Burp Suite 晉升到「精通」Burp Suite，並真正提升你的 Web 滲透測試能力，那麼這本書絕對是你書架上不容錯過的年度好書。

评分☆☆☆☆☆

收到這本《WebSecurity 網站滲透測試：Burp Suite 完全學習指南》時，我立刻被它的厚度和內容的紮實度所吸引。身為一個在網路安全領域打滾多年的老手，我深知一套好的工具學習指南，比看十本空泛的理論書籍更有價值。而這本書，顯然就是後者中的佼佼者。書中對於 Scanner 的使用心得，分享得相當具體且中肯。很多時候，自動掃描工具會產生大量的誤報（False Positives），這不僅浪費測試人員的時間，也影響報告的可信度。這本書非常坦誠地指出了這一點，並教導讀者如何透過調整掃描設定、觀察錯誤訊息，來最大化掃描的效率，並辨識出真正有價值的漏洞。這種務實的態度，讓我對作者產生了極大的信賴感。最讓我感興趣的是關於 Session Management 和 Authentication 的測試章節。在許多老舊系統中，這些環節往往是防禦最薄弱的地方。書中針對如何使用 Burp Suite 來模擬複雜的 Token 流程、如何測試弱點性的 Session ID 生成機制，提供了非常詳盡的步驟和腳本範例。我甚至依照書中的提示，成功在一個測試環境中，模擬出了一個過去從未發現的重放攻擊場景，這讓我對 Burp Suite 的潛力有了全新的認識。這本書的編排邏輯非常清晰，它並非單純的按功能表單來介紹，而是以一個完整的滲透測試生命週期為軸線來組織內容。從一開始的資訊收集、目標繪製，到中期的漏洞發掘與利用，最後到後續的報告撰寫輔助，Burp Suite 的每個功能點都是在最恰當的時機點被介紹。這種結構性的學習路徑，大大降低了學習曲線的陡峭程度。總而言之，這本由 iT邦幫忙鐵人賽系列推出的書籍，成功地將一個國際知名的資安工具，用極具在地化和實戰性的角度，完美地呈現在台灣讀者面前。它不只是教你怎麼按按鈕，更是在培養你成為一個能夠獨立思考、有效利用工具進行深度分析的安全專家。對於正在為下一份資安證照或專案做準備的夥伴們，這本絕對是值得收藏和反覆研讀的聖經級指南。

评分☆☆☆☆☆

讀完這本關於網站滲透測試的書籍，我的第一個感想是：終於有一本把 Burp Suite 講得這麼透徹的中文書了！過去為了學好這個工具，我翻遍了各種網路資源和國外論壇，但總覺得零散的資訊難以系統化。這本書的出現，就像是幫我把所有散落的拼圖都找齊了，而且還幫我描繪出了完整的圖像。書中對 Burp Suite 各個模組的介紹，處理得非常細緻。舉例來說，Proxy 設定的部分，不僅僅是教你怎麼設定，還深入探討了不同網路架構下該如何配置，以及如何處理 HTTPS 流量的攔截。這種對細節的掌握，對於處理一些複雜的企業級應用程式測試時特別有用。很多時候，測試卡關的點就在於環境設定不夠靈活，而這本書恰好補足了這塊知識的缺口。更讓我驚豔的是，它對於 Intruder 這個強大卻也容易讓人「玩壞」的模組，提供了極具深度的教學。作者不只是展示了基本的暴力破解，還講解了如何運用不同的攻擊類型（如 Sniper、Battering Ram）來應對不同的防護機制。這種從攻擊者角度出發，思考如何繞過防禦的教學方式，讓讀者在學習工具的同時，也能建立起更強健的防禦思維。這絕對是市面上其他書籍難以比擬的優勢。對於從事資安顧問工作的朋友來說，這本書的實用性極高。在實際客戶專案中，我們需要的不只是跑腳本，而是要能針對特定應用程式的業務邏輯進行客製化測試。書中穿插的許多實戰範例，讓我馬上就能聯想到在過去的專案中可能遇到的類似情境，並且找到了使用 Burp Suite 應對的最佳實踐。這讓我在後續的報告撰寫與漏洞驗證上，效率和精確度都大幅提升。總結來說，這本鐵人賽系列書籍，是為那些真正想把 Web 滲透測試這門手藝練到爐火純青的讀者準備的。它不是讓你囫圇吞棗地按步驟操作，而是引導你去理解工具背後的運作邏輯，最終讓你成為能駕馭 Burp Suite 的高手。對於任何認真對待網站資安工作的台灣 IT 人員，這本書絕對是書架上不可或缺的工具書之一。

评分☆☆☆☆☆

我必須承認，一開始對這本以「鐵人賽系列書」名義出版的工具書抱持著一絲懷疑，畢竟有些系列書的深度可能偏向入門級。然而，打開這本《WebSecurity 網站滲透測試：Burp Suite 完全學習指南》後，我的擔憂完全煙消雲散。它給我的感覺，就像是跟著一位經驗豐富的資深駭客在旁邊指導，非常直接且高效。特別要讚賞的是，書中對於 Burp Suite 擴充套件（Extender）平台的介紹。這部分在許多入門書籍中常常被略過，但對進階用戶來說，擴充套件才是提升測試效率的關鍵。作者並沒有只是列舉幾個熱門擴充套件，而是深入剖析了如何利用 BApp Store 尋找合適的工具，甚至提供了開發思路，這對於想將測試流程自動化或客製化的讀者來說，簡直是無價的寶藏。書中穿插的許多「陷阱」提醒，讓我印象深刻。例如，在進行爬網（Spidering）時，如何避免被網站的機器人防禦機制阻擋，以及在 Intruder 跑測試時，如何優化 Payload 列表以避免浪費時間。這些都是在實際工作中，被卡住許久後才會領悟到的經驗，現在能被系統性地整理出來，讓我省去了許多寶貴的摸索時間。這本書的作者顯然在實戰中吃過不少苦頭，才能提煉出這些精華。從台灣的資安產業現況來看，能夠熟練操作 Burp Suite 已經是基本要求，但要能「精通」並運用它來發現複雜的邏輯漏洞，才是區分高手與一般測試人員的關鍵。這本書的目標顯然是後者。它鼓勵讀者跳出 GUI 的限制，去理解底層的 HTTP 請求與回應，這是真正安全專業人士所必需具備的能力。簡單來說，如果你已經對網路基礎有所了解，但總覺得在 Web 滲透測試的實戰環節上，缺少一個可靠的「教戰手冊」，那麼這本書就是你需要的。它不會教你怎麼寫惡意程式，但它會教你如何優雅、有效率地拆解和測試任何一個 Web 應用程式。對於想要在這個領域做出一番成績的台灣讀者，這絕對是值得珍藏的實戰經典。

评分☆☆☆☆☆

這本關於網站滲透測試的書籍，光是看到書名就讓人感到熱血沸騰，特別是「Burp Suite 完全學習指南」這個副標題，對於想深入了解這個業界標準工具的讀者來說，簡直就是福音。我一直覺得，要真正搞懂資安，光看理論是不夠的，實作才是王道，而 Burp Suite 無疑是實戰中不可或缺的利器。我手上這本鐵人賽系列書，從排版到內容組織上，都能感受到作者的用心。對於初學者來說，很多資安書籍往往會直接拋出複雜的概念和指令，讓人望之卻步。但這本書的敘事方式比較貼近教學，循序漸進地帶領讀者熟悉環境設定、基本操作，然後再逐步深入到各種測試情境。這種「手把手」的帶領，讓我這個在資安領域摸索許久的人，都能重新審視自己對 Burp Suite 的掌握度，甚至發現過去忽略的一些細節。特別值得一提的是，書中對於各種常見攻擊情境的剖析，我覺得非常到位。它不只是告訴你「怎麼做」，更進一步解釋了「為什麼要這樣做」，以及背後的原理是什麼。例如在處理複雜的 CSRF 或 XSS 漏洞時，光是透過瀏覽器工具是難以模擬出真實攻擊場景的，但透過 Burp Suite 的 Repeater 或 Intruder，就能更精準地捕捉封包、修改參數，甚至進行模糊測試。這種對攻擊手法深層次的探討，讓讀者不僅學會了工具的使用，更培養了分析和解決問題的思維模式。對於台灣的資安社群來說，能夠看到一本如此深入且實用的工具書，實在是令人振奮的消息。畢竟，市面上的許多工具書常常是翻譯自國外的版本，在語境或案例上，可能和我們在台灣碰到的系統環境略有不同。這本書明顯是針對在地讀者設計的，從案例取材到術語使用，都非常親切自然。它讓我感覺到，原來資安學習的路途上，並不孤單，有這樣一本在地化的好書陪伴，學習曲線可以平緩許多。總體來說，這本書不只是一本工具書，更像是一本實戰手冊。它強迫你跳脫「知道」工具的存在，進入「會用」工具的層次，最終達到「精通」工具的境界。對於想從網路工程師轉型資安測試人員，或是希望在 Web Security 領域提升專業技能的同好來說，我真心推薦這本《WebSecurity 網站滲透測試：Burp Suite 完全學習指南》。它提供的價值，遠遠超乎書本的價格，是你在資安學習路上一個非常值得的投資。