培训对象: 面向Web开发人员、安全测试工程师、渗透测试人员及企业Web应用运维人员。适合需要深入理解Web安全漏洞原理、掌握安全测试与修复技术的从业人员。
培训目标: 通过讲解与演示相结合的方式,使学员直观接触Web安全的各个方向,深入了解常见Web攻击方式。掌握Web常见安全漏洞与业务漏洞的利用方法与修复方案,能够独立使用工具进行Web安全测试,提升企业Web应用的整体安全水平。
培训内容介绍:
Web安全概述与OWASP TOP 10:学习Web安全的基本概念、OWASP 2017/2021 TOP 10核心漏洞总览,建立Web安全威胁的整体认知。
SQL注入全类型深度剖析:掌握GET注入、POST注入、COOKIE注入、布尔盲注、时间盲注、报错注入、堆叠注入等各类SQL注入技术的原理与实战演示。
跨站脚本攻击(XSS):学习反射型XSS、存储型XSS、DOM型XSS的攻击原理与构造方法,掌握XSS平台的使用与防御策略。
CSRF与SSRF漏洞:深入理解跨站请求伪造(CSRF)的攻击流程与服务端请求伪造(SSRF)的内网探测技术,学习Gopher协议的高级利用方法。
文件上传漏洞绕过技术:学习PUT方法利用、前端验证绕过、MIME类型绕过、文件头校验绕过、双扩展名绕过等文件上传漏洞利用技巧。
命令执行与代码注入:掌握本地/远程命令执行漏洞的检测方法、命令拼接技巧及Webshell获取技术。
反序列化漏洞:学习Java反序列化、PHP反序列化、Python反序列化漏洞的原理,通过Weblogic、ThinkPHP、Struts2等典型框架漏洞案例深入理解。
XML外部实体注入(XXE):掌握XXE漏洞的特征识别、利用方法(文件读取、内网探测)及修复方案。
暴力破解与弱口令检测:学习使用BurpSuite等工具加载字典对Tomcat、SSH、FTP等服务进行暴力破解测试,掌握密码策略强化方法。
业务逻辑漏洞全解析:深入分析支付漏洞(金额篡改、数量修改)、权限漏洞(水平/垂直越权)、密码找回漏洞(验证码爆破、步骤绕过)等业务安全问题。
HTTP协议与会话管理:学习HTTP请求方法、状态码、Cookie机制、Session管理,掌握基于HTTP协议的攻击技术与防御策略。
Web安全修复实践:从攻击方与防御方双重角度总结Web安全修复方案,学习输入验证、输出编码、参数化查询等安全开发最佳实践。
