上传者: langmanlaowo
|
上传时间: 2019-12-21 18:51:01
|
文件大小: 5.04MB
|
文件类型: pptx
Web安全学习大纲
一、Web安全系列之基础
1、Web安全基础概念(1天)
互联网本来是安全的,自从有了研究安全的人之后,互联网就变的不安全了。
2、web面临的主要安全问题(2天)
客户端:移动APP漏洞、浏览器劫持、篡改
服务器:DDos攻击、CC攻击、黑客入侵、业务欺诈、恶意内容
3、常用渗透手段(3天)
信息搜集:域名、IP、服务器信息、CDN、子域名、GOOGLE HACKING
扫描器扫描:Nmap、AWVS、Burp Suite、在线扫描器
权限提升
权限维持
二、Web安全系列之漏洞
1、漏洞产生原因(1天)
漏洞就是软件设计时存在的缺陷,安全漏洞就是软件缺陷具有安全攻击应用方面的价值。软件系统越复杂,存在漏洞的可能性越大。
2、漏洞出现哪些地方?(2天)
前端静态页面
脚本
数据
服务:主机、网络
系统逻辑
移动APP
3、常见漏洞(3天)
SQL注入:布尔型注入、报错型注入、可联合查询注入、基于时间延迟注入。
XSS(跨站脚本攻击):反射型XSS、存储型XSS、DOM XSS
CSRF(跨站请求伪造)
SSRF(服务器端请求伪造)
文件上传下载:富文本编辑器
弱口令: X-Scan、Brutus、Hydra、溯雪等工具
其它漏洞:
4、逻辑漏洞(3天)
平行越权
垂直越权
任意密码重置
支付漏洞:0元购
接口权限配置不当:
验证码功能缺陷:
5、框架漏洞(2天)
struts2漏洞、Spring远程代码执行漏洞、Java反序列化漏洞
6、建站程序漏洞(1天)
Discuz漏洞、CMS漏洞等
三、Web安全系列之防御
1、常见防御方案(1天)
2、安全开发(2天)
开发自检、测试自检、部署自检
开发工具:安全框架Spring security、 shiro、Spring boot
3、安全工具和设备(2天)
DDos防护、WAF、主机入侵防护等等
4、网站安全工具(1天)
阿里云、云狗、云盾
网站在线检测:http://webscan.360.cn/
https://guanjia.qq.com/online_server/webindex.html
http://www.51testing.com/zhuanti/selenium.html Selenium是一个用于Web应用程序测试的工具