Web安全工程师之XSS攻击与防御(渗透测试/白帽子黑客/网络安全)

2人 购买 好评度 - 收藏
  • 第一期
更多班级

第一期

支持随到随学,24年06月过期

¥577.22

本班因教学质量问题暂时不能报名。 查看详情

课程因违反平台规定暂时不能报名。

立即购买

课程概述

目录

评论

老师介绍

  • 陈鑫杰

    陈鑫杰

    陈鑫杰 拼客科技CEO / 拼客学院院长 多年一线互联网 / 金融 / 政府信息安全技术支撑 擅长网络安全 / Web安全 / 渗透测试 / 数字取证 51CTO金牌讲师 / 300万+学员 / 安全类Top1 腾讯安全合作伙伴 / 共同打击灰黑产非法犯罪 网警技术顾问 / 多次协助抓获大型诈骗团伙 知乎专栏作家 / 跟杰哥学网络与安全
  • 妮妮班主任

    妮妮班主任

    我是拼客学院的班主任妮妮老师,同学们有任何问题都可以向我提问哦!
简  介 XSS(Cross Site Scripting)跨站脚本攻击是基于客户端的Web攻击,跟SQL注入攻击一样稳居OWASP前三,危害极大。攻击者构造脚本(一般是Javascript)到Web页面,受害者通过点击链接即被攻击,一旦被攻击,则可能遭受会话劫持、信息窃取、网站钓鱼等。

注意:购买课程之后,请先加入学习群,获取配套资料

  • 微信公众号:拼客学院服务号(搜索pinginglab)
  • 技术交流群1:添加班主任微信 qiuzhiquanquan 或 qqls000,加入微信群
  • 技术交流群2:添加班主任QQ 1724698994 或 1752856301,加入QQ群


 
=======



1. 课程简介

XSS(Cross Site Scripting)跨站脚本攻击是基于客户端的Web攻击,跟SQL注入攻击一样稳居OWASP前三,危害极大。攻击者构造脚本(一般是Javascript)到Web页面,受害者通过点击链接即被攻击,一旦被攻击,则可能遭受会话劫持、信息窃取、网站钓鱼等。

 

XSS攻击点一般出现在网页中的评论框、留言板、搜索框等"用户输入"的地方,形成原因主要是Web服务端没有对脚本文件进行安全过滤。根据形成原理和攻击方式,XSS可以分为3类,即反射型XSS、存储型XSS、DOM型XSS

 

说明:

本课程归属陈鑫杰老师的《100天晋升Web白帽子黑客系列课》(Web安全工程师职业方向),包括《Web安全导论》、《Web建站指南》、《HTTP协议原理与实践》、《HTML原理与实践》、《CSS原理与实践》、《JavaScript原理与实践》、《Python编程原理与实践》、《Django Web基础入门》、 《Django Web项目实战》、《Kali Linux / Metasploit渗透测试从入门到精通》、《Web安全渗透课》等近20门课程,是国内第一套基于思维导图方式授课的全栈Web安全课

 

大部分新人在学习安全技术的时候,往往止步于“工具使用”,而忽略了底层原理,更没有代码编程能力,使得后续职场发展受到很大阻碍,而本系列课程涵盖Web入门、Web前端开发、Web后端开发、Web安全渗透等,使得学员能够真正掌握Web前后端原理,能独立开发一个Web网站,并在代码级别上理解Web安全漏洞,真正意义上做到 [从原理到实战]

 

课程中的每一张技术图解、每一行代码、每一个项目案例,都由院长亲自操刀、精心设计并耐心讲解,抛弃传统PPT翻书式授课,用更体系更科学的姿势带你学好这门课程。本系列课程已经成为很多一线安全工程师的首选课程,也成为众多500强名企的采购课程,学完本系列课程的学员,大部分就职于国内一线的互联网名企、网络安全企业、国企政企、系统集成商/服务商等单位

 

实战案例:

知乎爆文,超100w人阅读12k点赞党媒转载=> [冇眼睇]揭秘地下se情诱导网站,上车吧!

 


 

2. 导师介绍

  • 陈鑫杰 拼客科技CEO / 拼客学院院长
  • 多年一线互联网 / 金融 / 政府信息安全技术支撑
  • 擅长网络安全 / Web安全 / 渗透测试 / 数字取证
  • 51CTO金牌讲师 / 300万+学员 / 安全类Top1
  • 腾讯安全合作伙伴 / 共同打击灰黑产非法犯罪
  • 网警技术顾问 / 多次协助抓获大型诈骗团伙
  • 知乎专栏作家 / 跟杰哥学网络与安全

 


 

3. 课程目标

  • 掌握XSS原理、反射型+存储型XSS、常见XSS攻击脚本构造解读(弹框、cookie窃取、重定向、加密编码)、不同安全级别的XSS绕过与漏洞利用、BeEF浏览器渗透框架实战、点击劫持、持久化控制、谷歌/Facebook账号钓鱼、虚假插件更新…

 


 

4. 课程对象

  • 白帽子黑客、网络安全、信息安全、Web安全、渗透测试、安全运维、安全攻防

 


 

5. 课程特色

  • 网络安全专家导师授课
  • 采用思维导图方式授课
  • 课件超详细 | 知识点丰富 | 实战驱动

 


 

6. 课程内容

  • XSS跨站脚本攻击原理-分类-危害
  • 反射型XSS-低安全级别-弹框-重定向-cookie获取及利用(tamper+burp)
  • 反射型XSS-中安全级别-大小写-混淆写法绕过
  • 反射型XSS-高安全级别-安全转义解读
  • 存储型XSS-低安全级别-弹框告警-Cookie获取
  • 存储型XSS-中高级别分析及cookie获取
  • 自动化攻击-BeEF入门简介
  • 自动化攻击-BeEF基础使用(初始启动-脚本解读-服务管理)
  • 自动化攻击-BeEF信息收集(浏览器重定向-链接修改-弹框对话-主机-网络信息)
  • 自动化攻击-BeEF持久化控制-与Metasploit结合实现渗透测试
  • 自动化攻击-BeEF社会工程学攻击(点击劫持-谷歌Facebook网页钓鱼-虚假更新)

 


 

7. 课程预览

 


 

8. 再次提醒:购买课程之后,请先加入学习群,获取配套资料

  • 微信公众号:拼客学院服务号(搜索pinginglab)
  • 技术交流群1:添加班主任微信 qiuzhiquanquan 或 qqls000,加入微信群
  • 技术交流群2:添加班主任QQ 1724698994 或 1752856301,加入QQ群(240920680)
 

 

===============



 

9. 拼客学院简介

拼客学院(PINGINGLAB)是国内领先的新IT职业教育品牌,由院长陈鑫杰创立于2013年,核心团队来自IBM / 百度 / 网易 / 新东方 / 欢聚时代等知名企业。



拼客学院专注为在校大学生与职场新人提供深入一线的IT实战技能,涵盖网络安全、Linux运维、云计算、人工智能、大数据、新兴软件开发等众多高端技术领域。



 

作为一家新型IT互联网技术大学,拼客学院秉承「以企业需求为根本,以学员口碑为生命线」的初心,坚守「让学员找到好工作,让企业招到好伙伴」的使命,以教学口碑和课程质量驱动发展,超过50%学员口口相传而来,好评率⾼达96%,每位学员可以拿到2.5到3个名企offer,就业率与入职薪酬遥遥领先。截止目前,已累积培养300万+线上与数千名面授学员,遍布国内一线的互联网 / 游戏 / 电商 / 网络安全 / 运营商 / 金融 / 公安 / 政府等各行各业。


 

与此同时,拼客学院的在线课程和企培服务也在高速发展,成为腾讯 / 微众银行 / 平安科技 / 中国移动 / 中国电信 / 深信服 / 360 等众多500强企业用户的共同选择,被不断采购并应用于内部培训与技能提升。

除此之外,我们还积极响应国家“十三五”战略新兴产业的发展规划,作为企业与高校的连接器,赋能AI新时代,在全国数十所高校持续开展公益活动。通过《5天速成白帽子黑客》、《5天Python项目实战营》、《1周入门Linux云计算》等在线训练营活动,数千上万高校学子完成课程学习和作业考核,最终拿到拼客学院颁发的技能证书与岗位推荐。通过《高校公益行》、《IT项目实战营》等方式,我们积极走进高校,与院校、社团、协会等达成战略合作,为在校大学生提供实训、实习、项目实践机会。

 

 


 

10. 服务优势

 

 


 

11. 学员案例

 

 


 

12. 名企合作






13. 《IT名企面经合集(拼客学院5年珍藏版)》
内含腾讯、阿里、网易、华为、360、中国移动、中国电信等精选名企面经,添加班主任微信或QQ限时免费获取!

  • 班主任微信 qiuzhiquanquan 或 qqls000
  • 班主任QQ 1724698994 或 1752856301

 

资料下载报名后支持下载

* 课程提供者:拼客学院

老师还为你推荐了以下几门课程