本PPT专为Web安全初学者设计,涵盖基础概念、常见威胁及防护措施等内容,旨在帮助新手快速掌握网站安全知识与技能。
Web安全学习大纲
一、Web安全系列之基础
1. Web安全基础概念(1天)互联网本来是相对安全的环境,但自从有了研究网络安全的人之后,网络的安全性就受到了挑战。
2. web面临的主要安全问题(2天)
- 客户端:移动APP漏洞、浏览器劫持、篡改
- 服务器:DDoS攻击、CC攻击、黑客入侵、业务欺诈、恶意内容
3. 常用渗透手段(3天)
- 信息搜集:域名、IP地址、服务器信息等
- 扫描器扫描:Nmap, AWVS, Burp Suite 等工具
- 权限提升和维持
二、Web安全系列之漏洞
1. 漏洞产生原因(1天)软件设计时存在的缺陷,特别是那些可以被利用进行攻击的缺陷。
2. 漏洞出现哪些地方?(2天)
- 前端静态页面脚本
- 数据服务:主机、网络系统逻辑
- 移动APP
3. 常见漏洞(3天)
- SQL注入:布尔型注入、报错型注入等
- XSS跨站脚本攻击:反射型XSS、存储型XSS等
- CSRF跨站请求伪造,SSRF服务器端请求伪造
- 文件上传下载问题和弱口令漏洞
4. 逻辑漏洞(3天)
平行越权, 垂直越权, 漏洞利用任意密码重置功能, 支付漏洞等。
5. 框架漏洞(2天)
6. 建站程序漏洞(1天)
三、Web安全系列之防御
1. 常见防御方案(1天)
2. 安全开发(2天)
开发自检, 测试自检, 部署前的检查,使用Spring security等框架进行安全性加固。
3. 安全工具和设备(2天)
4. 网站安全工具(1天)
5星
