掌握Web安全漏洞執行個體利用方法、原理及防禦

課程介紹

近年來，利用Web應用存在的安全漏洞展開攻擊的案例層出不窮，受害者也與日俱增。雖說隻要消除安全漏洞就能夠杜絕這些攻擊，但這就需要Web應用開發人員掌握正确的安全知識。 怎麼才是掌握安全知識的姿勢呢？超亮老師告訴你！

超亮，擁有CIW、MCSE、網絡工程師、系統分析師等認證；8年IT和資訊安全專業領域從業經驗，具有較強的資訊安全網絡和安全管理、建設和維護、管理咨詢和技術評估實戰經驗。

本課程通俗易懂、深入淺出地介紹了Web應用基礎、常見漏洞，最後詳細的對漏洞執行個體進行了分析。SQL注入、XSS、CSRF等這些對于Web開發人員來說耳熟能詳的，但可能一知半解的術語都将在這個課程裡得到詳細的剖析。

本課程建議學生從頭到尾一步步地系統性學習，也适合作為一些知識點的參考。

課程目标

通過對本課程的學習，學者能夠掌握Web安全漏洞執行個體利用方法、原理及防禦。

課程目錄

第一章：基礎篇

課時1 :Web應用程式安全與風險 42分鐘

課時2 :HTTP請求與響應 21分鐘

課時3 :HTTP方法、消息頭講解 12分鐘

課時4 :Cookie、狀态碼、Web功能 19分鐘

課時5 :URL編碼講解 5分鐘

課時6 :HTTP方法漏洞利用 26分鐘

課時7 :滲透測試常見資料庫、腳本語言、中間件講解 14分鐘

課時8 :滲透測試環境搭建 23分鐘

第二章：SQL注入攻擊

課時1 :注入攻擊原理及自己編寫一個注入點 53分鐘

課時2 :注入式攻擊-OR漏洞實戰講解 17分鐘

課時3 :注入式攻擊-MySQL手工注入基礎及注入點探測 37分鐘

課時4 :注入式攻擊-MySQL手工注入一個站 32分鐘

課時5 :注入式攻擊-MySQL手工之内容擷取 36分鐘

課時6 :注入式攻擊-MySQL手工注入之group_concat高效查詢 11分鐘

課時7 :注入式攻擊-Cookie手工注入入門 16分鐘

課時8 :注入式攻擊-Cookie注入工具 31分鐘

第三章：XSS漏洞

課時1 :XSS原了解析 13分鐘

課時2 :XSS的三種分類（DOM，反射，儲存）（上） 15分鐘

課時3 :XSS的三種分類（DOM，反射，儲存）（下） 8分鐘

第四章：上傳漏洞

課時1 :上傳漏洞-上傳檢測流程概述及用戶端檢測繞過 23分鐘

課時2 :上傳漏洞-伺服器檢測繞過（MIME、目錄路徑） 12分鐘

課時3 :上傳漏洞-伺服器檢測繞過（黑名單） 14分鐘

課時4 :上傳漏洞-伺服器檢測繞過（白名單） 7分鐘

課時5 :上傳漏洞-服務端檢測繞過（檔案内容檢測） 12分鐘

課時6 :上傳漏洞-解析漏洞及上傳攻擊架構講解 19分鐘

第五章：CSRF漏洞

課時1 :CSRF攻擊原理及分類 21分鐘

課時2 :CSRF攻擊實戰 17分鐘

課時3 :CSRF攻擊-攻擊防禦 31分鐘

第六章：檔案包含

課時1 :檔案包含漏洞分類及上傳技巧 23分鐘

課時2 :檔案包含讀寫檔案 21分鐘

課時3 :檔案包含進階利用及防禦方法 10分鐘

第七章：驗證碼繞過

課時1 :驗證碼分類及原理講解 49分鐘

課時2 :驗證碼各類方法突破分析 6分鐘

課時3 :驗證碼識别暴力破解密碼 18分鐘

第八章：指令執行

課時1 :遠端指令執行-OS指令執行 17分鐘

課時2 :遠端指令執行-PHP指令執行 33分鐘

課時3 :遠端指令執行-DVWA指令執行代碼分析 9分鐘

課時4 :jboss遠端指令執行視訊 17分鐘

課時5 :Sturts2、Java反序列化漏洞示範 20分鐘

第九章：其他漏洞

課時1 penSSL HeartBleed漏洞 7分鐘

課時2 :php-multipartform-dos與Slow HTTP Denial 10分鐘

課時3 :邏輯、越權漏洞挖掘（上） 30分鐘

課時4 :邏輯、越權漏洞挖掘（中） 32分鐘

課時5 :邏輯、越權漏洞挖掘（下） 31分鐘

課時6 :暴力猜解原理及方法 39分鐘

課時7 :暴力猜解實戰測試 32分鐘

課時8 :編輯器漏洞講解（上） 44分鐘

課時9 :編輯器漏洞講解（中） 29分鐘

課時10 :編輯器漏洞講解（下） 18分鐘

第十章：綜合漏洞分析

課時1 :Web應用其它常見漏洞總結（上） 35分鐘

課時2 :Web應用其它常見漏洞總結（下） 25分鐘

課時3 :手機APP漏洞挖掘（上） 30分鐘

課時4 :企業滲透測試方案講解（上） 31分鐘

課時5 :企業滲透測試方案講解（下）

百度網盤