一:Web基础万丈高楼平地起,学习Web安全,基础是重中之重。已学完,看文章最后分响1:知道网站运行原理2:什么是脚本语言3:什么是数据库,怎么使用数据库4:什么是http协议,http状态码,http首部5:搭建渗透测试环境(靶场)二:Linux操作系统在渗透测试中,常常遇到与windows操作系统迥然不同的Linux操作系统,如搭建在Linux服务器上的网站,基于Linux系统的渗透测试系统等,lLinux在我们学习渗透测试的时候非常重要1:如何安装一个Linux操作系统2:如何使用Linux操作系统3:如何使用Linux操作系统进行渗透测试三:Sql注入Web渗透中永恒不变的漏洞——SQL注入漏洞1:SQL注入漏洞及其产生原理2:SQL注入漏洞的分类3:通过SQL注入漏洞获取网站数据4:通过SQL注入漏洞拿下网站的控制权限5:通过SQL注入漏洞拿下服务器的控制权限 6:使用SQLMap进行SQL注入四:任意文件上传文件上传是web网站中的一个常见功能,比如说论坛的头像上传、文件上传等功能,这么常见的功能又是如何成为漏洞的1:什么是Webshell2:什么是任意文件上传及其产生原理3:网站对于文件上传的几种检测方式4:如何绕过文件上传的防御Getshell5:什么是解析漏洞,如何利用解析漏洞Getshell五:PHP安全PHP是现在非常流行的一种Web开发语言。PHP存在很多历史遗留的安全问题。在PHP语言诞生之初,互联网安全问题尚不突出,许多今天已知的安全问题在当时并未显现,因此PHP语言设计上一开始并没有过多地考虑安全。时至今日,PHP遗留下来的历史安全问题依然不少。1:什么是命令执行漏洞及其产生原因2:通过命令执行漏洞直接Getshell3:什么是文件包含及其产生原理4:文件包含的分类5:通过文件包含任意读取文件6:通过文件包含Getshell7:PHP伪协议与文件包含漏洞六:跨站脚本攻击——XSS 跨站脚本攻击(XSS)是客户端脚本安全中的头号大敌。1:认识JavaScript2:认识Cookie和Session3:什么是XSS及其产生原理4:利用XSS进入网站后台5:利用XSS进行键盘记录6:利用XSS Getshell七: XML实体注入攻击——XXE近年来在Web漏洞挖掘领域,随着各类网站的服务接口的开放,XXE漏洞出现的次数大幅度增长。1:什么是XML2:什么是XML实体注入攻击及其产生原理3:利用XXE任意读取文件4:通过XXE进行内网渗透八:服务器请求伪造攻击——SSRF每一台机器都能发起请求,比如说个人电脑对网站发起访问请求、对一个网盘文件发起下载请求,那为什么在服务器发起的请求就会出现让人感到费解的漏洞?1:什么是SSRF及其产生原理2:利用SSRF进行内网端口扫描3:利用SSRF进行内网网站渗透最后学会融会贯通综合利用,能够针对多种漏洞进行组合利用,完成从web渗透入门到进阶的跨越!目录01开学典礼02环境搭建03WEB安全基础04业务逻辑漏洞05文件上传漏洞06 跨站脚本攻击漏洞07信息收集08文件包含漏洞09服务端包含10服务端请求伪造漏洞11SQL注入12 CommandExecution13 csrf14小节总结15 XXE16中间件安全17web安全总结18课程考核19就业培训20代码审计基础21代码审计实战已学完,有需要点我的头像,再私信回复【学习】
本文出自快速备案,转载时请注明出处及相应链接。