课程详情
根据机构调研,目前安全问题80%都发生在WEB安全层面上,但是往往企业中只有20%的防护成本运用到web安全上。
本课程中,从web安全漏洞原理、攻击手段、测试方法、预防措施四个方面剖析WEB安全的点点滴滴,针对开发人员、测试人员、运维人员、网络工程师都能够起到一定的指导意义。
课程内容包含绕过漏洞、验证机制漏洞、会话管理漏洞、权限控制漏洞、sql注入、xpath注入、xss、csrf、逻辑漏洞、社会工程学攻击、自动化审计等。
课程大纲
较好章 安全测试基础
介绍http协议基础、安全测试基本概念、安全漏洞分类等基础内容
第二章 核心防御机制
讲解在安全测试、安全防御中核心的三层防御机制
第三章 解析应用程序
安全测试、攻击的核心,讲解如何扫描应用程序、进行安全分析
第四章 绕过客户端攻击
绕过客户端攻击,是安全攻击的基础。本章主要介绍绕过的手段以及可以绕过的漏洞类型
第五章 验证机制漏洞
5.1 验证机制漏洞(一)
介绍验证机制漏洞较好部分,关于登录模块的漏洞分析
5.2验证机制漏洞(二)
验证机制漏洞第二部分,专题讲解忘记密码的漏洞原理分析及互联网实例
5.3验证机制漏洞(三)
介绍其他验证机制相关漏洞,如详细的报错信息、多阶段登录漏洞等内容
5.4验证机制漏洞(四)
专题讲解互联网应用中关于登录模块漏洞的实例
第六章 会话管理漏洞
6.1 会话管理漏洞(上)
介绍会话管理的概念已经会话令牌生成过程中可能产生的漏洞
6.2 会话管理漏洞(下)
介绍会话生命周期中的漏洞类型。并了解其原理、攻击方法、防御措施
第七章 访问控制漏洞
专题讲解权限管理方面可能存在的漏洞类型。
第八章 SQL注入与XPATH注入
SQL注入作为目前影响较大、较受重视的安全漏洞,本节课专题对sql注入的产生、危害、原理、盲注手段、攻击工具以及防御措施进行了详细的剖析。同时,简要介绍了xpath注入的相关内容
第九章 XSS攻击
XSS是目前发生次数较多的安全漏洞,本节课详细介绍xss的原理、分类、攻击载荷、攻击方式以及测试手段和防御措施
第十章 CSRF攻击
CSRF,又称one click attack,是危害较大的攻击。
第十一章 逻辑漏洞与社会工程学
逻辑漏洞也算安全漏洞?!我们来深入讲解一下。同时介绍了社会工程学的基本攻击方式和在web安全攻击中的使用。
第十二章 自动化审计简述
简单介绍了自动化审计工具的使用方式以及自动审计工具的优劣。
博为峰,中国职业人才培训领域的先行者,隶属于上海博为峰软件技术股份有限公司(股票代码:836392,2020年4月入选新三板创新层)。 公司总部位于上海,在北京、深圳、广州、南京、西安、成都、杭州、合肥、重庆、南昌、长沙、武汉、苏州、石家庄、济南、郑州、天津、青岛等地均设有分支服务机构。
十数年来,博为峰始终坚守教学品质,真诚服务学员,发展至今,每年毕业学员10000+,就业率长期保持在99%以上。博为峰已先后为7000多家国内外企业输送软件技术精英,未来还将根据产业变迁和技术革新开设更多的紧缺人才实训项目:帮助更多的应届毕业生和职场新人找到满意工作,实现职业梦想;帮助更多的用人单位轻松招到可用之才,推动企业发展和产业进步。
【教学成果】
孵化出国内较大的软件测试品牌、社区-51testing,是中国软件测试人才的摇篮。
博为峰累计已毕业70000+学员,开班上千期,就业率99%以上,学员入职7000多家企业,举办90场公益沙龙,出版16本丛书,发型电子杂志57期。
姑苏区广济南路18号中盛艾美写字楼805室