Web 安全实战宝典
前沿的Web安全实践干货,提升你的安全保障能力随着互联网的快速发展,数据泄露、账号盗取、信息获取等成为不可忽视的问题,安全保障也成为软件开发中的重要一环。本课程讲师是国内安全领域的技术专家之一,将带大家系统性学习目前网络安全的核心技能体系,提升安全保障能力。
适合人群
希望提升自身竞争力的软件测试同学
想要提升安全保障能力的开发同学
对安全测试/渗透测试感兴趣的人
想想了解Hacker的角度保护网站和应用程序
技术储备
软件测试基础
环境参数
Python 3
JAVA 语言
课程目录:
第1章 趣解Web安全测试(Web安全测试概述) 5 节 | 87分钟
Web安全测试概述:介绍什么是Web安全,Web安全有哪些常见的漏洞,如何理解这些漏洞以及在实际的IT工作中,安全测试的流程是怎样的。收起列表
1-1 Web 安全课程导学 (24:00)
1-2 WEB安全测试概述 (18:17)
1-3 安全漏洞风险全面理(一) (17:46)
1-4 安全漏洞风险全面理(二) (16:52)
1-5 测试全流程讲解 (09:37)
第2章 安全测试项目与工具(Web安全测试必备技能)8 节 | 135分钟
Web安全测试必备技能:让我们一起了解什么是网站,什么是HTTP协议,它是如何工作的,接下来在进入Web安全测试之前,我们首先学习如何搭建一套安全测试靶机,并安装需要使用的安全软件,以便在自己的机器上实践安全测试。
2-1 安全测试必备技能(上)-HTTP协议基础(一) (20:45)
2-2 安全测试必备技能(上)-HTTP协议基础(二) (26:35)
2-3 安全测试必备技能(下)-熟悉HTTP协议结构和通讯原理(一) (17:53)
2-4 安全测试必备技能(下)-熟悉HTTP协议结构和通讯原理(二) (11:44)
2-5 安全测试必备技能(下)-熟悉HTTP协议结构和通讯原理(三) (11:49)
2-6 安全测试必备技能(下)-熟悉HTTP协议结构和通讯原理(四) (10:00)
2-7 安全测试必备技能(下)-熟悉HTTP协议结构和通讯原理(五) (16:10)
2-8 快速熟悉安全测试工具及安全应用靶机 (19:50)
第3章 绕过客户端攻击(绕过客户端安全处理)5 节 | 74分钟
绕过客户端安全处理:结合工具,实战讲解如何进行抓包、前端绕过操作,以及如 何进行防御。收起列表
3-1 绕过客户端攻击(实战)(一) (15:23)
3-2 绕过客户端攻击(实战)(二) (11:10)
3-3 绕过客户端攻击(实战)(三) (14:29)
3-4 绕过客户端攻击-互联网实例 (20:16)
3-5 防御客户端绕过技术实现&总结 (12:30)
第4章 验证机制漏洞(操作验证机制漏洞)6 节 | 101分钟
操作验证机制漏洞:从互联网验证机制原理入手,结合互联网真实案例及靶机实战学习包括弱密码、暴力破解、忘记密码等常见的攻击手段及防御措施。收起列表
4-1 互联网验证机制漏洞的模式与分类 (08:34)
4-2 弱密码、暴力破解、攻击与防御(互联网真实案例+实战演练) (36:21)
4-3 忘记密码的攻击措施和防御手段(互联网真实案例+实战演练) (21:55)
4-4 多阶段登录存在的安全风险及攻防(实战演练) (10:59)
4-5 其他验证机制漏洞 (11:21)
4-6 章节总结 (11:05)
第5章 会话管理漏洞(Web安全测试之会话管理)6 节 | 103分钟
会话管理安全:戏说网站会话管理机制,通过会话令牌生成和传输两方面全面认识会话管理过程中的安全风险和防御措手段。收起列表
5-1 会话管理概述 (16:19)
5-2 会话令牌生成安全风险(一) (22:34)
5-3 会话令牌生成安全风险(二) (16:59)
5-4 会话劫持的攻击手段 (21:05)
5-5 会话固定攻击与会话终止攻击 (16:17)
5-6 会话的安全处理&总结mp4 (09:45)
第6章 访问控制漏洞(访问控制问题实战)3 节 | 38分钟
网站访问控制:以互联网真实越权为例,理解越权的攻击形式、影响范围、测试手段和修复方法。收起列表
6-1 访问控制权限漏洞概述 (07:26)
6-2 水平越权与垂直越权(实战) (23:51)
6-3 越权漏洞防御 (06:22)
第7章 详解注入漏洞(注入问题的最优处理)12 节 | 219分钟
注入问题的最优处理:注入是最危险的安全问题,它们通过注入数据到一个网络应用程序以期获得执行,或者是通过非预期的一个方式来执行恶意数据。它们数量庞大、攻击范围广,并且有时候防御措施很复杂,因此是最常见、成功率最高的网络攻击,如何发现和解决注入问题是Web安全的核心重点。
7-1 注入漏洞概述 (07:26)
7-2 SQL注入的攻击原理(实战演练) (22:21)
7-3 针对SQL注入的攻击与测试验证方法(一) (24:51)
7-4 针对SQL注入的攻击与测试验证方法(二) (27:10)
7-5 SQL盲注攻击(一) (22:29)
7-6 SQL盲注攻击(二) (21:58)
7-7 SQLMAP使用 (19:28)
7-8 SQL注入案例及防御 (10:42)
7-9 XML注入漏洞浅析 (16:12)
7-10 文件包含注入漏洞(实战演练) (14:37)
7-11 命令执行漏洞(实战演练) (20:11)
7-12 注入漏洞总结及课后作业 (10:47)
第8章 解析跨站脚本攻击(跨站脚本攻击的解析及处理)8 节 | 101分钟
跨站脚本攻击的解析及处理:跨站漏洞可以用来让访问有安全问题的页面的用户运行脚本代码,在这里你将学习如何从用户那里窃取会话令牌,伪造成他们访问网站。我们将学习这三种类型的跨站攻击方式(反射、存储和基于dom)。
8-1 深入浅出跨站脚本攻击 (16:54)
8-2 反射式XSS攻击与测试(一) (20:45)
8-3 反射式XSS攻击与测试(二) (17:51)
8-4 存储式XSS攻击与测试 (15:08)
8-5 基于DOM的XSS攻击与测试 (11:22)
8-6 XSS攻击的防御 (04:55)
8-7 总结及课后作业 (07:35)
8-8 本章脚本攻击小结 (05:53)
第9章 深入请求伪造漏洞(深入请求伪造漏洞问题)2 节 | 36分钟
深入请求伪造漏洞问题:这里我们将学习名字很相似但攻击方式近乎相左的一对请求伪造“兄弟” —服务端请求伪造(SSRF)和跨站请求伪造(CSRF),我们将从他们的原理、危害、攻击手法和防御等多个方面深入剖析请求伪造相关的安全问题。
9-1 服务端请求伪造的探测方法及修复-SSRF (15:12)
9-2 跨站请求伪造的产生、危害和防御 – CSRF (19:57)
第10章 文件处理漏洞(完善文件处理漏洞)3 节 | 34分钟
其他常见安全漏洞:文件处理几乎无处不在,文件处理的能力本身没有问题,有问题的是文件上传或者下载后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。同样,逻辑漏洞是所有安全漏洞中最难发现的,也是所有审计工具都束手无策的。这一章节我们将带大家一起讨论这些常见安全漏洞的攻防
10-1 常见安全漏洞之文件上传漏洞(一) (11:02)
10-2 常见安全漏洞之文件上传漏洞(二) (08:43)
10-3 常见安全漏洞之逻辑漏洞 (13:33)
第11章 真实安全测试攻击手段分析(剖析真实安全测试攻击手段)3 节 | 37分钟
剖析真实安全测试攻击手段:通过互联网真实案例,展示分析真正的安全攻击手法和社会工程学的应用方式。收起列表
11-1 互联网安全攻击的避免与应对 (08:04)
11-2 互联网安全攻击的避免与应对 (11:34)
11-3 再谈互联网攻击实施手段 (16:49)
第12章 课程总结
总结:课程总结本课程持续更新中