阿里巴巴知名安全大牛吴翰清所著书籍--《白帽子讲web安全》

网络攻防平台writeup 1 Web安全基础： 4 1、信息泄露： 4 2、暴力破解： 5 3、SQL注入： 5 4、文件上传： 5 5、XSS: 5 6、鉴权绕过： 6 7、文件包含： 6 8、验证码1.0： 6 9、headers： 6 10、Limited access： 7 11、XML PATH： 8 加解密技术： 9 1、解密1： 9 2、解密2： 9 3、古典现代： 9 4、ZIP解密： 9 5、RSA挑战： 10 6、古典密码1.0： 11 7、古典密码2.0： 12 8、密码算法破解： 13 9、base解码： 14 10、AES-CBC： 15 11、RSA解密3： 17

阐述了XSS的基础知识，剖析了XSS攻击的原理和危害 主要讲解了XSS测试工具，发掘XSS漏洞技术，XSS Worm防御、Flash应用安全等 本书浅显易懂，特别适合初学者学习。

介绍Web安全基本测试方向与内容，自己整理的，对新手非常有帮助

本课件是组会作为分享使用，亦可作为团队前端安全培训入门使用，全课件主要讲解了sql注入，xss，csrf，点击劫持等常见的web攻击手段，及其一些防范措施，对于初入web安全的领域的新手十分有帮助。

本书是集理论、协议细节、漏洞分析、部署建议于一体的详尽Web应用安全指南。书中具体内容包括：密码学基础，TLS协议，PKI体系及其安全性，HTTP和浏览器问题，协议漏洞；最新的攻击形式，如BEAST、CRIME、BREACH、Lucky 13等；详尽的部署建议；如何使用OpenSSL生成密钥和确认信息；如何使用Apache httpd、IIS、Nginx等进行安全配置。

关于国科大web安全技术大作业，口令破解的部分代码，仅供参考。包括密码特征提取、密码特征统计、密码暴力猜测。

目前，传统的Web安全检测方法作用于程序输入输出端，不能防范经变形混淆后绕过检测进入程序内部执行的恶意代码，难以满足当前Web应用安全防护新需求。本方法基于对传统数据流监控方法风险的深入分析，结合RASP技术特性，提出了基于RASP的Web安全检测方法，在Web应用程序内部的权限判别函数参数、系统命令执行函数参数、数据库操作函数参数处埋下 RASP 探针，在代码解释器层面实时检测数据流的变化。本方法基于Java语言进行了实现，在实验室证明该方法在准确率和检测时间上优于传统的Web安全检测方法，并在最后分析提出了本方法的部署和应用场景。

渗透测试之面试题推荐

web工程加密常见手段，仅供分享，也是学历的参考资料，具体请以测试要求为准