[漏洞银行]Web安全扫盲公开课_专注于Web安全
公开课介绍
“Web安全扫盲公开课”是由一叶知安及漏洞银行联合举办的系列免费课程。内容专注于Web安全,帮助行业新人摆脱碎片化学习内容,摒弃不成熟入门方法。通过一叶知安优秀作者——倾旋的系统性教学,0基础带你入门,助你有效建立Web模型,高效了解Web安全!
讲师介绍
倾旋,安全从业者,就任于一叶知安团队技术支持,从事安全产品开发,渗透测试,Web漏洞研究。
一叶知安介绍
一叶知安致力于分享渗透测试中的各种实战技巧,以及其他好玩有意思的黑客技术。“自由”、“分享”是一叶从始至终的宗旨。
课程概要:
• 初始渗透测试->什么是渗透测试(新安全法)
• BS/CS架构
• HTTP协议简要交互过程
• 数据包解读
• 请求方法
• 状态码分类
• <课后交流->HTTP协议/安全法>
• 初始渗透测试->什么是渗透测试(新安全法)
• BS/CS架构
• HTTP协议简要交互过程
• 数据包解读
• 请求方法
• 状态码分类
• <课后交流->HTTP协议/安全法>
第二讲:建立基本网络思维模型
本期作业:
熟悉osi各层工作流程以及协议
熟悉osi各层工作流程以及协议
课程概要:
虚拟机的使用
• 学会使用虚拟机(VM)的必要
• 菜单使用
• 安装系统
• 快照
• 克隆
• 网络模式->网卡设置
• 扩展介绍(vm-tools)
搭建脚本层所需条件(Web服务器、脚本解释器)
• Web服务器与脚本解释器之间的关系
• 动态网站请求处理过程 -> 图解
• PHP环境搭建 -> phpstudy
• 从开发人员角度了解HTTP(GET/POST)方法
GET/POST的区别
• 浏览器角度
• 数据接收方式
• 用途角度
学习编程的讨论
• PHP
• Python
• JAVA
• C/C++
• NET/aspx
搭建JSP环境
搭建ASPX环境
<课后交流>
虚拟机的使用
• 学会使用虚拟机(VM)的必要
• 菜单使用
• 安装系统
• 快照
• 克隆
• 网络模式->网卡设置
• 扩展介绍(vm-tools)
搭建脚本层所需条件(Web服务器、脚本解释器)
• Web服务器与脚本解释器之间的关系
• 动态网站请求处理过程 -> 图解
• PHP环境搭建 -> phpstudy
• 从开发人员角度了解HTTP(GET/POST)方法
GET/POST的区别
• 浏览器角度
• 数据接收方式
• 用途角度
学习编程的讨论
• PHP
• Python
• JAVA
• C/C++
• NET/aspx
搭建JSP环境
搭建ASPX环境
<课后交流>
第四讲:初次接触基础漏洞(OWASP TOP 10)
本期作业:
整理其他数据库注入语句、学习SQL语法
整理其他数据库注入语句、学习SQL语法
第六讲:XSS跨站脚本攻击
本期作业:了解XSS
课程概要:
• DOM XSS
• CSRF - 结合XSS简单蠕虫 发送留言
• XSS / CSRF 如何防御
• 虚拟机搭建渗透测试学习环境
• DOM XSS
• CSRF - 结合XSS简单蠕虫 发送留言
• XSS / CSRF 如何防御
• 虚拟机搭建渗透测试学习环境
第八讲:SSRF服务器端请求伪造
课程概要:
第九讲:远程代码执行
第十讲:上传漏洞
第十一讲:简单查询
第十二讲:高级查询
第十三讲:Join 查询
第十四讲:SQL 常用函数
课程概要:
• avg函数
• count函数
• max函数
• min函数
• sum函数
• mid函数
• len函数
课程概要:
• avg函数
• count函数
• max函数
• min函数
• sum函数
• mid函数
• len函数
第十五讲:渗透测试流程之信息搜集
课程概要:
课程概要:
• 端口
• 服务
• banner
• 子域名
• Whois
• C段
• 程序语言
• Web服务器版本
• 操作系统
• 物理路径/相对路径
• 服务
• banner
• 子域名
• Whois
• C段
• 程序语言
• Web服务器版本
• 操作系统
• 物理路径/相对路径
第十六讲:漏洞扫描AWVS
课程概要:
0x01.AWVS简介、简单扫描—HTTP Editor模块介绍
0x02.AWVS的Web服务发现
0x03.AWVS爬虫模块的使用
0x04.AWVS-FUZZ模块的使用
0x05.AWVS HTTP Sniffer模块的使用
0x06.AWVS subdomin scanner模块的使用
第十七讲:w3af漏洞分析框架的使用
课程概要:
0x01.w3af工具的介绍-简单扫描
0x02.w3af工具的快速配置扫描
0x03.w3af工具调用sqlmap进行漏洞利用
0x04.w3af工具扫描参数设置的优化
第十八讲:总结篇(最终篇)
课程概要:
• 梳理脉络,汇总往期内容
111111111111111111111