Web安全學習大綱 一、Web安全系列之基礎 1、Web安全基礎概念（1天） 互聯網本來是安全的，自從有了研究安全的人之后，互聯網就變的不安全了。 2、web面臨的主要安全問題（2天） 客戶端：移動APP漏洞、瀏覽器劫持、篡改 服務器：DDos攻擊、CC攻擊、黑客入侵、業務欺詐、惡意內容 3、常用滲透手段（3天） 信息搜集：域名、IP、服務器信息、CDN、子域名、GOOGLE HACKING 掃描器掃描：Nmap、AWVS、Burp Suite、在線掃描器 權限提升 權限維持 二、Web安全系列之漏洞 1、漏洞產生原因（1天） 漏洞就是軟件設計時存在的缺陷，安全漏洞就是軟件缺陷具有安全攻擊應用方面的價值。軟件系統越復雜，存在漏洞的可能性越大。 2、漏洞出現哪些地方？（2天） 前端靜態頁面 腳本 數據 服務：主機、網絡 系統邏輯 移動APP 3、常見漏洞（3天） SQL注入：布爾型注入、報錯型注入、可聯合查詢注入、基于時間延遲注入。 XSS（跨站腳本攻擊）：反射型XSS、存儲型XSS、DOM XSS CSRF（跨站請求偽造） SSRF（服務器端請求偽造） 文件上傳下載：富文本編輯器 弱口令： X-Scan、Brutus、Hydra、溯雪等工具 其它漏洞： 4、邏輯漏洞（3天） 平行越權 垂直越權 任意密碼重置 支付漏洞：0元購 接口權限配置不當： 驗證碼功能缺陷： 5、框架漏洞（2天） struts2漏洞、Spring遠程代碼執行漏洞、Java反序列化漏洞 6、建站程序漏洞（1天） Discuz漏洞、CMS漏洞等 三、Web安全系列之防御 1、常見防御方案（1天） 2、安全開發（2天） 開發自檢、測試自檢、部署自檢 開發工具：安全框架Spring security、 shiro、Spring boot 3、安全工具和設備（2天） DDos防護、WAF、主機入侵防護等等 4、網站安全工具（1天） 阿里云、云狗、云盾 網站在線檢測：http://webscan.360.cn/ https://guanjia.qq.com/online_server/webindex.html http://www.51testing.com/zhuanti/selenium.html Selenium是一個用于Web應用程序測試的工具