日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

介紹：“Web安全掃盲公開課”是由一葉知安及漏洞銀行聯(lián)合舉辦的系列免費(fèi)課程。內(nèi)容專注于Web安全，幫助行業(yè)新人擺脫碎片化學(xué)習(xí)內(nèi)容，摒棄不成熟入門方法。
通過一葉知安優(yōu)秀作者——傾旋的系統(tǒng)性教學(xué)，零基礎(chǔ)帶你入門，助你有效建立Web模型，高效了解Web安全！

課程目錄

第一講：滲透測(cè)試簡介-入門（http協(xié)議）
課程概要：
? 初始滲透測(cè)試->什么是滲透測(cè)試（新安全法）
? BS/CS架構(gòu)
? HTTP協(xié)議簡要交互過程
? 數(shù)據(jù)包解讀
? 請(qǐng)求方法
? 狀態(tài)碼分類
? <課后交流->HTTP協(xié)議/安全法>
本期作業(yè)：
1、熟悉HTTP請(qǐng)求過程
2、熟悉HTTP常見的請(qǐng)求方法
3、了解HTTP狀態(tài)碼
第二講：建立基本網(wǎng)絡(luò)思維模型

課程概要：
? 建立基本網(wǎng)絡(luò)思維模型的必要 ->解決日常生活簡單問題 重點(diǎn)：【W(wǎng)eb安全5層模型】
? 局域網(wǎng)通信（IP/MAC地址） ->家庭路由器
? OSI七層模型簡介
? 分層介紹
? 過程概述
? 自身安全 ->數(shù)據(jù)透明 運(yùn)營商
? <課后交流> 了解 常見應(yīng)用層協(xié)議（HTTP/FTP/DNS/Telnet…）
本期作業(yè)：
熟悉osi各層工作流程以及協(xié)議
第三講：第一次簡單環(huán)境搭建

課程概要：
虛擬機(jī)的使用
? 學(xué)會(huì)使用虛擬機(jī)（VM）的必要
? 菜單使用
? 安裝系統(tǒng)
? 快照
? 克隆
? 網(wǎng)絡(luò)模式->網(wǎng)卡設(shè)置
? 擴(kuò)展介紹（vm-tools）
搭建腳本層所需條件（Web服務(wù)器、腳本解釋器）
? Web服務(wù)器與腳本解釋器之間的關(guān)系
? 動(dòng)態(tài)網(wǎng)站請(qǐng)求處理過程 -> 圖解
? PHP環(huán)境搭建 -> phpstudy
? 從開發(fā)人員角度了解HTTP（GET/POST）方法
GET/POST的區(qū)別
? 瀏覽器角度
? 數(shù)據(jù)接收方式
? 用途角度
學(xué)習(xí)編程的討論
? PHP
? Python
? JAVA
? C/C++
? NET/aspx
搭建JSP環(huán)境
搭建ASPX環(huán)境
<課后交流>
本期作業(yè)：
預(yù)習(xí)SQL
第四講：初次接觸基礎(chǔ)漏洞（OWASP TOP 10）

課程概要：
OWASP TOP 10簡介
? 注入（SQL injection）-> SQLi
? 失效的身份和會(huì)話管理->未授權(quán)訪問/令牌泄露（session in url）
? 跨站腳本（XSS）-> 存儲(chǔ)型/反射型/DOM XSS
? 不安全的對(duì)象直接引用 -> 未對(duì)輸入的數(shù)據(jù)做過濾（文件讀取、遠(yuǎn)程文件讀取/支付漏洞）
? 安全配置 -> 不安全的HTTP方法（PUT/DELETE/COPY）
? 敏感信息泄露 -> 越權(quán)訪問，搜索引擎收錄
? 功能級(jí)訪問控制缺失 -> 用戶管理 / 文件管理 / 訂單管理 / 留言審核 未驗(yàn)證當(dāng)前用戶權(quán)限
? 跨站請(qǐng)求偽造(CSRF) -> 未驗(yàn)證referer/token 跨站操作
? 使用含有已知漏洞的組件 -> 編輯器低版本、Web服務(wù)器低版本、中間件低版本
? 未驗(yàn)證的重定向和轉(zhuǎn)發(fā) -> 任意URL跳轉(zhuǎn)（釣魚）
數(shù)據(jù)庫簡介
? MySQL / Oracle / SQL Server
? SQL注入 產(chǎn)生原因
? SQL注入 利用過程
? SQL注入分類
基于從服務(wù)器接收到的響應(yīng)
? 基于錯(cuò)誤的SQL注入
? 聯(lián)合查詢的類型
? 堆查詢注射 -> 一次執(zhí)行N條
SQL盲注
? 基于布爾SQL盲注
? 基于時(shí)間的SQL盲注
? 基于報(bào)錯(cuò)的SQL盲注
基于服務(wù)器端期望接收到的數(shù)據(jù)類型
? 基于字符串
? 數(shù)字或整數(shù)為基礎(chǔ)
基于入庫出庫再入庫
? 二次注入
<課后交流>
本期作業(yè)：
整理其他數(shù)據(jù)庫注入語句、學(xué)習(xí)SQL語法
第五講：鞏固復(fù)習(xí)

（內(nèi)容為第一~第四講）
第六講：XSS跨站腳本攻擊

課程概要：
XSS產(chǎn)生的原因
XSS的分類
? 存儲(chǔ)型XSS
? DOM XSS
? 反射型XSS
常見特點(diǎn)總結(jié)
常見可控變量總結(jié)
高級(jí)利用 – XSS平臺(tái)原理
? 正常請(qǐng)求與異步請(qǐng)求
? 背后的令牌 – 通過異步盜取Cookies
XSS盲打
本期作業(yè)：了解XSS
第七講：XSS跨站腳本攻擊（進(jìn)階課）

課程概要：
? DOM XSS
? CSRF – 結(jié)合XSS簡單蠕蟲 發(fā)送留言
? XSS / CSRF 如何防御
? 虛擬機(jī)搭建滲透測(cè)試學(xué)習(xí)環(huán)境
本期作業(yè)：預(yù)習(xí)SSRF，搭建測(cè)試環(huán)境，鞏固XSS與CSRF
第八講：SSRF服務(wù)器端請(qǐng)求偽造?
課程概要：
? CSRF產(chǎn)生的原因
? 同源策略
? 構(gòu)造一個(gè)XSS+CSRF蠕蟲
? SSRF漏洞
? SSRF產(chǎn)生的原因
? SSRF的利用
第九講：遠(yuǎn)程代碼執(zhí)行
課程概要：
??遠(yuǎn)程代碼執(zhí)行產(chǎn)生的原因
– 小栗子
? 一句話木馬原理分析
– 小馬/大馬的區(qū)別
? 遠(yuǎn)程代碼執(zhí)行g(shù)etshell
? 文件包含漏洞
第十講：上傳漏洞?
課程概要：
? 服務(wù)器端配置可能造成上傳漏洞
? 腳本過濾不嚴(yán)謹(jǐn)可能造成上傳漏洞
? 服務(wù)器端中間件版本過低可能存在上傳漏洞
第十一講：簡單查詢?
課程概要：
? 什么是數(shù)據(jù)庫
? 什么是SQL語法
? 四大類語句（SELECT/INSERT/UPDATE/DELETE）簡介
? 第一個(gè)查詢 SELECT
? 去重查詢 SELECT DISTINCT
? WHERE子句
->整數(shù)型
->字符型
->范圍（BETWEEN）
->LIKE
->IN
第十二講：高級(jí)查詢?
課程概要：
? ORDER BY 排序
? LIMIT語句
? INSERT插入數(shù)據(jù)
? UPDATE語句
? 別名
? 子查詢
? DELETE語句
第十三講：Join 查詢
課程概要：
? SQL Join
? SQL Inner Join
? SQL Left Join
? SQL Right Join
? SQL Full Join
? SQL Union
第十四講：SQL 常用函數(shù)
課程概要：
? avg函數(shù)
? count函數(shù)
? max函數(shù)
? min函數(shù)
? sum函數(shù)
? mid函數(shù)
? len函數(shù)
第十五講：滲透測(cè)試流程之信息搜集
課程概要：
? 端口
? 服務(wù)
? banner
? 子域名
? Whois
? C段
? 程序語言
? Web服務(wù)器版本
? 操作系統(tǒng)
? 物理路徑/相對(duì)路徑
第十六講：漏洞掃描AWVS
課程概要：
0x01.AWVS簡介、簡單掃描—HTTP Editor模塊介紹
0x02.AWVS的Web服務(wù)發(fā)現(xiàn)
0x03.AWVS爬蟲模塊的使用
0x04.AWVS-FUZZ模塊的使用
0x05.AWVS HTTP Sniffer模塊的使用
0x06.AWVS subdomin scanner模塊的使用
第十七講：w3af漏洞分析框架的使用
課程概要：
0x01.w3af工具的介紹-簡單掃描
0x02.w3af工具的快速配置掃描
0x03.w3af工具調(diào)用sqlmap進(jìn)行漏洞利用
0x04.w3af工具掃描參數(shù)設(shè)置的優(yōu)化
第十八講：總結(jié)篇（最終篇）
課程概要：
? 梳理脈絡(luò)，匯總往期內(nèi)容

鏈接：https://pan.baidu.com/s/1ZHI5WWa5KSFUBKxzcIx8pQ
提取碼：pvuj