evil安全说之web保卫战

admin

evil安全说之web保卫战

课程大纲 evil安全说:web安全教学篇 第1讲:课程初衷以及说在前面的话 安全工程师的核心竞争力，不在于他能拥有多少个0day,掌握多少种安全技术，而在于他对安全理解的深度，以及由此引申的看到安全问题的角度和高度 第2讲:Web(安全)应用技术基础 1、编码基础（不需要多精通，能够熟悉语法，会写PoC即可，每天花上1-2小时，坚持下来会有收获 2、网络基础（TCP/IP等基础协议该看还是看看吧） 第3讲:Web(安全)应用程序解析 攻击应用程序的第一步是收集和分析与其有关的一些关键信息，以清楚了解攻击目标。列出应用程序的功能后，接下来的首要任务就是仔细分析应用程序运行机制的每一个方面 第4讲:[撕逼课]Who am I？身份认证安全 在你们看视频之前 试试能不能完成挑战 挑战1： 使用任意账号暴力登陆网站 挑战2： 遍历所有用户名 挑战3：篡改身份登陆任意账号 第5讲:[红军防守]用户登录的基本防范01:不要犯懒 上节课放出红军网站(登录)部分后，被我们的安全课老师evil撕成狗。那么这节课我们就要来学习一下如何防范。本课时分为自我攻击和自我防范两个部分。通过Python代码的一些学习来反过来学习PHP网站开发的一些安全点。 第6讲DVWA学习:Brute Force基于表单认证的暴力破解 DVWA (Dam Vulnerable Web Application)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞 第7讲DVWA学习:Command Execution命令注入漏洞 本课时我们来学习Command Execution命令注入漏洞。课程目的：1）        深入理解命令注入工作原理2）        培养学生的独立思考能力 第8讲DVWA学习:CSRF跨站请求伪造 本课包含三种级别CSRF分析与攻击，以及介绍一个非常有效的防御CSRF攻击的方法：二次确认。 第9讲DVWA学习:File Inclusion文件包含漏洞 1）深入理解文件包含漏洞2）学习如何绕过简单限制 第10讲:SQL Injection注入漏洞(上) 1)深入理解sql注入工作原理2）掌握使用hackbar进行简单的手工注入攻击 第11讲:SQL Injection注入漏洞(下) 1）深入理解sql注入工作原理2）掌握使用hackbar进行简单的手工注入攻击 第12讲:SQL Injection (Blind)盲注漏洞 1）了解SQL盲注2）掌握使用sqlmap进行简单注入攻击 第13讲:File Upload文件上传漏洞 课程目的：1）了解文件上传的基本方法 2）掌握使用burp suite进行简单的上传攻击 游客，如果您要查看本帖隐藏内容请回复