課程內(nèi)容包含繞過漏洞、驗(yàn)證機(jī)制漏洞、會話管理漏洞、權(quán)限控制漏洞、sql注入、xpath注入、xss、csrf、邏輯漏洞、社會工程學(xué)攻擊、自動化審計(jì)等。

課程大綱

較好章　安全測試基礎(chǔ)

?????? 介紹http協(xié)議基礎(chǔ)、安全測試基本概念、安全漏洞分類等基礎(chǔ)內(nèi)容

第二章　核心防御機(jī)制

?????? 講解在安全測試、安全防御中核心的三層防御機(jī)制

第三章　解析應(yīng)用程序

?????? 安全測試、攻擊的核心，講解如何掃描應(yīng)用程序、進(jìn)行安全分析

第四章　繞過客戶端攻擊

? ? ? ? ?繞過客戶端攻擊，是安全攻擊的基礎(chǔ)。本章主要介紹繞過的手段以及可以繞過的漏洞類型

第五章　驗(yàn)證機(jī)制漏洞

?????? 5.1 驗(yàn)證機(jī)制漏洞（一）

????????????? 介紹驗(yàn)證機(jī)制漏洞較好部分，關(guān)于登錄模塊的漏洞分析

?????? 5.2驗(yàn)證機(jī)制漏洞（二）

????????????? 驗(yàn)證機(jī)制漏洞第二部分，專題講解忘記密碼的漏洞原理分析及互聯(lián)網(wǎng)實(shí)例

?????? 5.3驗(yàn)證機(jī)制漏洞（三）

????????????? 介紹其他驗(yàn)證機(jī)制相關(guān)漏洞，如詳細(xì)的報(bào)錯(cuò)信息、多階段登錄漏洞等內(nèi)容

?????? 5.4驗(yàn)證機(jī)制漏洞（四）

????????????? 專題講解互聯(lián)網(wǎng)應(yīng)用中關(guān)于登錄模塊漏洞的實(shí)例

第六章　會話管理漏洞

?????? 6.1 會話管理漏洞（上）

????????????? 介紹會話管理的概念已經(jīng)會話令牌生成過程中可能產(chǎn)生的漏洞

?????? 6.2 會話管理漏洞（下）

????????????? 介紹會話生命周期中的漏洞類型。并了解其原理、攻擊方法、防御措施

第七章　訪問控制漏洞

?????? 專題講解權(quán)限管理方面可能存在的漏洞類型。

第八章　SQL注入與XPATH注入

?????? SQL注入作為目前影響較大、較受重視的安全漏洞，本節(jié)課專題對sql注入的產(chǎn)生、危害、原理、盲注手段、攻擊工具以及防御措施進(jìn)行了詳細(xì)的剖析。同時(shí)，簡要介紹了xpath注入的相關(guān)內(nèi)容

第九章　XSS攻擊

?????? XSS是目前發(fā)生次數(shù)較多的安全漏洞，本節(jié)課詳細(xì)介紹xss的原理、分類、攻擊載荷、攻擊方式以及測試手段和防御措施

第十章　CSRF攻擊

?????? CSRF，又稱one click attack，是危害較大的攻擊。

第十一章　邏輯漏洞與社會工程學(xué)

?????? 邏輯漏洞也算安全漏洞？！我們來深入講解一下。同時(shí)介紹了社會工程學(xué)的基本攻擊方式和在web安全攻擊中的使用。

第十二章　自動化審計(jì)簡述

?????? 簡單介紹了自動化審計(jì)工具的使用方式以及自動審計(jì)工具的優(yōu)劣。