教师简介：
腾讯云鼎实验室高级安全研究员,10年安全攻防经验,主要擅长漏洞攻防、Web安全研究与安全自动化,长期进行与漏洞相关的工作,当前主要负责主机内漏洞检测、安全运营、事件发现与漏洞应急响应与安全评估。
长期进行Web漏洞的挖掘,给国内外各大甲方安全公司解决过多个严重安全问题,获得过微软、阿里巴巴、腾讯、360、新浪等公司感谢等；在KCon、WOT2014、ISF、QCon、BlackHat等安全与技术会议上做过安全相关演讲,受邀参加过北京广播电台等访谈,接受过《人物》、雷锋网、法制晚报等采访,在《计算机文摘》等杂志报刊发表过文章；Pocsuite、3102等安全工具核心开发者。
原知道创宇安全研究员,负责Seebug漏洞平台、ZoomEye网络空间搜索引擎为主的漏洞社区,Seebug创始人,多届KCon黑客大会技术负责人,发起并策划兵器谱环节。
课程介绍：
|课程介绍
适应对象:
从事T族（运营开发、后台开发、业务运维等）工作，需要掌握安全开发、运维、运营以及对漏洞攻防感兴趣的同学。
内容简介:
课程背景:
在传统的企业安全教育中，总是从企业安全角度强调各种安全防范和规范从而避免企业安全风险；
而未知攻焉知防，本课程重点通过黑客的角度去帮助大家了解黑客如何利用企业的一些安全问题进行入侵，如何挖掘利用漏洞，同时并且提供相应的解决方案；
课程主要从黑客思维、常见的代码中的Web漏洞、业务逻辑漏洞、通用漏洞利用几个点从漏洞角度讲述企业安全中的常见的问题以及对应的防御措施；
最后再回头讲述企业安全中的薄弱点以及一些措施。

课程要求：
1、对安全有一定认知
2、明白漏洞的概念
课程收益:
学员学习完本次课程后，将能够:
* 了解黑客的思维和安全本质
* 了解常见的Web漏洞的挖掘和技巧
* 了解可能忽视的业务逻辑问题
* 了解黑客对漏洞的利用
* 了解企业安全中的薄弱点和安全建议
课程大纲:
一.安全本质与黑客思维
1.黑客思维
2.安全的本质
二.Web漏洞技巧与Fuzzing
1.XSS漏洞挖掘实例与安全建议
2.SQL注入挖掘实例与安全建议
三.功能里的逻辑缺陷
1.不合理的校验
2.轻而易举突破限制
3.不可信的安全来源
4.失效的权限控制
四.撒网式攻击与漏洞利用
1.Redis未授权访问问题利用实例与安全建议
2.ES远程命令执行利用实例与安全建议
4.安全建议
五.企业安全薄弱点与建议
1.企业安全的薄弱点
2.安全建议与方案