课程名称:WEB安全编程基础入门
时间:周未班,2天,人数满30人即开班。
住宿:住宿自理。
随着互联网的快速发展,以及大量中小型互联网公司的出现,网络用户数也在不断增长,用户安全意识不断提升,大家也越来越注重个人隐私及数据安全的防护,出现用户密码泄露、隐私外泄、财产损失等都是不能忍受的。
目前大部分公司都会通过WEB技术提供服务,但这些公司往往缺乏安全相关的技术团队,来为网络安全方面提供技术保障。尤其在开发过程中工程师忽略安全方面的考虑,导致线上网站服务器出现各种安全漏洞,留下安全隐患,对用户和公司都会造成不同程度的损失。
加上近些年各大互联网公司陆续爆出被攻击的安全问题,大量账户和密码泄露。例如有些用户在很多网站都使用同一账户和密码,使得黑客更容易破解他在其它网站的账户信息。类似问题让企业在安全性方面面临严峻挑战,可以说一个网站没有安全,就像没有穿衣服一样,它是裸露透明的,一丝不挂毫无隐私和保障可言。
而互联网上也很少有WEB安全开发方面的的课程,本课程正是基于此总结了我在安全开发方面的经验,循序渐进的讲述大量实际发生的案例以及处理方案,来应对各种新奇攻击技术。从常见网络攻击、代码安全、后端应用安全、账户安全、等各方面提供了比较成熟的技术解决方案。
希望通过WEB安全编程训练营能够帮助开发者对整个网络安全有一个全新的认识和质的提升,从而成为一位懂安全、会防护的工程师,避免在工作当中成为黑客的攻击对象。
课程目录
1、SQL注入漏洞
1.sql注入漏洞原理
2.sql注入漏洞测试方法(演示,案例)
--常见注入类型(字符、数字、搜索)
--盲注(boolian base&time base)
3.sql-map使用介绍(演示)
4.sql注入防范措施
5.解决SQL注入的安全开发方法
2、命令执行
1.系统命令注入漏洞原理
2.系统命令漏洞测试方法(演示,案例)
3.系统命令注入防范
4.解决系统命令注入的安全开发方法
3、代码注入
代码注入漏洞原理
代码注入漏洞测试方法(演示,案例)
--include()
--
3.代码注入防范措施
4.代码注入防御方法
4、文件上传漏洞
1.不安全的上传漏洞
--客户端验证问题
--服务端验证问题
(MIME type,getimagesize())
2.不安全的下载漏洞
3.防范措施
4.解决文件上传漏洞的安全开发方法
5、文件包含
文件包含漏洞原理
2.代码注入漏洞测试方法(演示,案例)
--远程文件包含
--本地文件包含
文件包含防范措施
4.解决文件包含的安全开发方法
6、跨站脚本攻击(XSS)
1.跨站脚本漏洞原理
2.跨站脚本测试方法(演示、案例)
--反射性xss(get&post)
--存储型xss
--dom型xss
3.防范措施
4.解决XSS的安全开发方法
7、跨站请求伪造(CSRF)
1.跨站请求伪造原理
2.跨站请求伪造测试方法(演示、案例)
--csrf (get)
--csrf(post)
3.防范措施
--token是如何防止csrf的
4.解决CSRF的安全开发方法
8、暴力破解
1.暴力破解攻击及漏洞原理
2.暴力破解漏洞测试方法(演示、案例)
3.burp-suite使用介绍(基于表单的暴力破解演示)
4.不安全的验证码(演示、案例)
5.防范措施
6.解决暴力破解的安全开发方法
9、密码找回
凭证暴力破解
凭证信息返回
邮箱弱token
凭证的有效性
手机号重新绑定
10、验证码绕过
验证码漏洞成因
验证码不刷新
可重复验证
空值验证码
漏洞防范
11、越权
1.越权漏洞原理2.越权漏洞测试方法(案例,演示)--横向越权--水平越权3.防范措施
12、支付漏洞
支付漏洞原理
订单价格
订单数量
运费
漏洞防范