Web安全扫盲公开课_WEB安全防护基础系统知识视频教程

admin

“Web安全扫盲公开课”是由一叶知安及漏洞银行联合举办的系列免费课程。内容专注于Web安全，帮助行业新人摆脱碎片化学习内容，摒弃不成熟入门方法。通过一叶知安优秀作者——倾旋的系统性教学，0基础带你入门，助你有效建立Web模型，高效了解Web安全！

讲师介绍
倾旋，安全从业者，就任于一叶知安团队技术支持，从事安全产品开发，渗透测试，Web漏洞研究。
一叶知安介绍
一叶知安致力于分享渗透测试中的各种实战技巧，以及其他好玩有意思的黑客技术。“自由”、“分享”是一叶从始至终的宗旨。

[漏洞银行]Web安全扫盲公开课_WEB安全防护基础系统知识视频教程概要：
1、初始渗透测试->什么是渗透测试（新安全法）
2、 BS/CS架构
3、HTTP协议简要交互过程
4、数据包解读
5、请求方法
6、状态码分类
7、<课后交流->HTTP协议/安全法>

第二讲：建立基本网络思维模型



本期作业：
熟悉osi各层工作流程以及协议

课程概要：
虚拟机的使用
1、学会使用虚拟机（VM）的必要
2、菜单使用
3、 安装系统
4、快照
5、克隆
6、网络模式->网卡设置
7、扩展介绍（vm-tools）
搭建脚本层所需条件（Web服务器、脚本解释器）
1、Web服务器与脚本解释器之间的关系
2、动态网站请求处理过程 -> 图解
3、PHP环境搭建 -> phpstudy
4、从开发人员角度了解HTTP（GET/POST）方法
GET/POST的区别
1、浏览器角度
2、数据接收方式
3、用途角度
学习编程的讨论
1、PHP
2、Python
3、JAVA
4、C/C++
5、NET/aspx
搭建JSP环境
搭建ASPX环境
<课后交流>

第四讲：初次接触基础漏洞（OWASP TOP 10）

本期作业：
整理其他数据库注入语句、学习SQL语法

第六讲：XSS跨站脚本攻击

本期作业：了解XSS

课程概要：
1、DOM XSS
2、CSRF - 结合XSS简单蠕虫 发送留言
3、XSS / CSRF 如何防御
4、虚拟机搭建渗透测试学习环境


第八讲：SSRF服务器端请求伪造

课程概要：

第九讲：远程代码执行课程概要：
1、远程代码执行产生的原因
   - 小栗子
2、一句话木马原理分析
   - 小马/大马的区别
3、远程代码执行getshell
4、文件包含漏洞

第十讲：上传漏洞  
课程概要：
1、服务器端配置可能造成上传漏洞
2、脚本过滤不严谨可能造成上传漏洞
3、服务器端中间件版本过低可能存在上传漏洞

第十一讲：简单查询  
课程概要：
1、什么是数据库
2、什么是SQL语法
3、四大类语句（SELECT/INSERT/UPDATE/DELETE）简介
4、第一个查询 SELECT
5、去重查询 SELECT DISTINCT
6、WHERE子句
->整数型
->字符型
->范围（BETWEEN）
->LIKE
->IN

第十二讲：高级查询  
课程概要：
1、ORDER BY 排序
2、LIMIT语句
3、INSERT插入数据
4、UPDATE语句
5、别名
6、子查询
7、DELETE语句

第十三讲：Join 查询
课程概要：
1、SQL Join
2、SQL Inner Join
3、SQL Left Join
4、SQL Right Join
5、SQL Full Join
6、SQL Union

第十四讲：SQL 常用函数
课程概要：
1、avg函数
2、count函数
3、max函数
4、min函数
5、sum函数
6、mid函数
7、len函数

第十五讲：渗透测试流程之信息搜集
课程概要：

1、端口
2、服务
3、banner
4、子域名
5、Whois
6、C段
7、程序语言
8、Web服务器版本
9、操作系统
10、物理路径/相对路径

第十六讲：漏洞扫描AWVS

课程概要：
01.AWVS简介、简单扫描—HTTP Editor模块介绍
02.AWVS的Web服务发现
03.AWVS爬虫模块的使用
04.AWVS-FUZZ模块的使用
05.AWVS HTTP Sniffer模块的使用
06.AWVS subdomin scanner模块的使用

第十七讲：w3af漏洞分析框架的使用

课程概要：
01.w3af工具的介绍-简单扫描
02.w3af工具的快速配置扫描
03.w3af工具调用sqlmap进行漏洞利用
04.w3af工具扫描参数设置的优化

第十八讲：总结篇（最终篇）

课程概要：

1、梳理脉络，汇总往期内容
下载地址：

游客，如果您要查看本帖隐藏内容请回复

趣淘料·版权声明

1、本资料来源于网络，仅供学习交流之用，所有权归属原创作者所有；

2、所有下载者表示默认接受并同意签订《趣淘料论坛协议》；

3、趣淘料论坛仅提供交流学习平台，请下载24小时内删除，切勿用于商业用途；

4、如有侵权，请联系我们删除。