周哥:男,真名周扬荣,毕业于中科院软件所。曾就职于阿里巴巴,奇虎360安全公司,SUN中国工程研究院,北大计算机研究所等,创办了“麦洛科菲”高端IT安全培训 。
课程内容介绍
Web安全人才有很广泛的就业前景,公司无论大中小(包括银行,企事业单位,电子商务),为了维护自己的Web服务的可靠性和安全性, 都不惜重金投入到Web安全的建设中去。本课详细介绍了Web安全与渗透测试的方方面面,从注入攻击(SQL注入,盲注等)到XSS攻击再到数据库提权,从数据库拖库,到暴力破解MD5碰撞,DOS攻击,到序列化漏洞,薅羊毛等。从情报搜集,漏洞扫描到metasploit渗透实战,再到社会工程学中的欺骗,网站邮件钓鱼,U盘攻击。本课非常适合于对信息安全和网络安全感兴趣的初学者入门与提高,也适合web开发者避免各种危重漏洞与预防。
本课程大纲如下:
1.序言
1.1web漏洞分类
1.2开放式Web应用程序安全项目:OWASP简介
1.3白帽子,灰帽子,黑帽子和脚本小子区别
1.4信息安全普法教育
2.注入类漏洞与攻击
2.1SQL注入原理与实战
2.2SQL注入判别准则与自动化分析
2.3SQL盲注
2.4SQLMAP自动化工具
2.5SQL注入与数据库拖库
2.6SQL注入预防
2.7存储过程漏洞利用
2.8宽字符注入
2.9长字符截断
2.10mysql 文件读写load_file利用
2.11XML注入
2.12XPATH注入
2.13JSON注入
2.14代码注入
3.错误回显漏洞
4.XSS攻击与预防
4.1XSS攻击原理与分类:reflection xss会话劫持,stored xss, DOM XSS
4.2XSS常见攻击利用形式
4.3XSS攻击预防方法
5.跨站请求伪造(CSRF)攻击原理与预防
6.文件上传漏洞原理与预防
7.文件包含漏洞原理与预防
8.命令与代码执行漏洞原理与预防
9.点击劫持漏洞原理与预防
10.认证(session会话)漏洞与预防
11.逻辑漏洞:密码找回漏洞,水平越权,垂直越权,0元购支付漏洞,账户恶意攻击
12.暴力破解(MD5碰撞)攻击
13.旁注攻击(跨库查询,目录越权)
14.数据库提权原理概述
15.DOS攻击原理与预防(SYN FLOOD,CC等)
16.羊毛党薅羊毛原理与预防策略
17.Java序列化漏洞利用与预防
18.Json序列化漏洞利用与预防
19.什么是渗透测试
20.metasploit框架简介
21.渗透测试环境搭建
22.情报搜集
23.漏洞扫描
24.metasploit渗透实战
25.瑞士军刀:meterpreter
26.meterpreter命令详解
27.社会工程学:欺骗,木马攻击,网站邮件钓鱼,U盘攻击与防范
28.无线网络渗透简介
29.渗透测试工具集
30.系统防渗透测试方法与思路
31.课后作业:利用meterpreter和MS08_067漏洞实现反向连接渗透
学员评价
勘误提示
如您在学习过程中发现任何“错误”,请通过email:10950150@qq.com告知我们错误所在的课程名称和错误所在视频的时间起始位置。错误一经我们确认,我们将会在该门课程的“课程概述”里提供“错误更正”信息,并对您表示衷心的感谢。
