Web漏洞挖掘实战--极客时间课程推荐/优惠

版权声明

本站非极客时间官网，与官方无任何关系。我们不提供课程下载或详细内容，仅作为课程分享和推荐平台。我们鼓励大家支持正版，尊重创作者的劳动成果，这样不仅能帮助创作者持续产出优质内容，也能让自己获得更好的学习体验。请通过官方渠道购买和学习课程，感谢您的理解与支持。

课程详情

你将获得：

攻防兼备的 Web 安全知识体系；
搭建属于自己的攻防对抗系统；
真实场景下的实战经验总结；
顶层视角的安全思维与产业级认知。

课程介绍

这是一门安全课程，也是一门优雅编码课程。

我们都说，真正优秀的开发者都是大黑客，这句话是真的。厉害的开发人员往往从业务代码不断精进，写到框架层，再写到系统层，这种不断深入的过程即是不断探求原理和创新的过程。而真正的黑客也是如此，他们共同构建了互联网世界的底层。

如果把攻防对抗比作一场战争，Web 渗透、后门技术、横向移动、隧道搭建、权限提升等技术就像排兵布阵，用战术优势不断攻城略地；那么漏洞在攻防中的作用就像核武器，这是一种在硬件装备上的降维打击。在渗透测试之路走到尽头的时候，所有路标都指向了一座新的高山——漏洞挖掘。

漏洞挖掘与安全开发需要大量的知识储备，但是现在大多的课程和学习资料往往都是着眼于某一个知识点去解读，分析的重点往往是漏洞的成因和利用方式。但是对于含金量最高的地方，漏洞挖掘过程以及思考方式，却没有仔细的分解。这就使得我们在学习的过程中，只收获了一个漏洞的利用方式，但是面对主动漏洞挖掘场景以及安全开发时却无能为力。因此，缺乏实战经验成为学习者进一步提高技术能力的瓶颈。网络安全作为一门工程学科，需要的不仅是扎实的理论基础，实战经历同样不可或缺。

基于此，我们邀请到了螣龙安科的创始人王昊天老师，他将带领你直面 2021 OWASP 榜单中最高发的 10 类安全问题。通过真实场景下的案例带你从黑客视角一步步挖掘漏洞，同时又能从工程师视角带你探究漏洞的底层原理，进而对漏洞进行利用，对代码进行优化。最终形成一个完整的闭环！内容中包含了大量未公开利用方式的漏洞，和2021真实红蓝对抗案例，手把手教你使用自动化工具，构建智能攻防系统。

课程设计

整个专栏共分为以下四个部分：

导读：一讲篇幅介绍安全领域最权威的 OWASP Top 10 榜单，从与上一份榜单的变化出发，让你对 OWASP 的背景和内容有一个宏观的认识，并且总结出“六步法”，让安全知识“学了就能用”。

五类重点安全问题系统讲解：学习几大主流风险种类，它们分别是失效的访问控制、加密失败、注入、不安全的设计以及安全配置错误，它们将各自以一个模块的篇幅详细展开，让你通过一个个生动的场景深入浅出地理解安全问题，在实战中对漏洞加以利用。

其他安全风险串讲：对于榜单中一些次重点的安全问题进行串讲，各占一讲篇幅，定位短小精悍，干货、代码满满。

综合实战：在学完上述所有的漏洞挖掘思想之后，融合实战，结合之前所学的安全思维，构建属于自己的前沿漏洞挖掘与智能攻防系统。

特别提示

每篇文章中用到的靶机，老师都会放在MiTuan平台mituan.zone 的这个板块里面欢迎各位同学前来自取。

课程目录

课前必读

导读｜解读OWASP Top10 2021
开篇词｜从黑客的视角找漏洞，从安全的角度优雅coding

失效的访问控制

01｜失效的访问控制：攻击者如何获取其他用户信息？
02｜路径穿越：你的Web应用系统成了攻击者的资源管理器？
03 | 敏感数据泄露：攻击者如何获取用户账户？
04｜权限不合理：攻击者进来就是root权限？
05｜CSRF：为什么用户的操作他自己不承认？

加密失败

06｜加密失败：使用了加密算法也会被破解吗？
07｜弱编码：程序之间的沟通语言安全吗？
08｜数字证书：攻击者可以伪造证书吗？
09｜密码算法问题：数学知识如何提高代码可靠性？
10｜弱随机数生成器：攻击者如何预测随机数？
11｜忘记加“盐”：加密结果强度不够吗？
大咖助场｜数字证书，困境与未来

注入

12｜注入（上）：SQL注入起手式
13｜注入（下）：SQL注入技战法及相关安全实践
14｜自动化注入神器（一）：sqlmap的设计思路解析
15｜自动化注入神器（二）：sqlmap的设计架构解析
16｜自动化注入神器（三）：sqlmap的核心实现拆解
17｜自动化注入神器（四）：sqlmap的核心功能解析
18 | 命令注入：开发的Web应用为什么成为了攻击者的bash？
19 | 失效的输入检测（上）：攻击者有哪些绕过方案？
20 | 失效的输入检测（下）：攻击者有哪些绕过方案？
21｜XSS（上）：前端攻防的主战场
22｜XSS（中）：跨站脚本攻击的危害性
23｜XSS（下）：检测与防御方案解析
24｜资源注入：攻击方式为什么会升级？

不安全的设计

25｜业务逻辑漏洞：好的开始是成功的一半
26｜包含敏感信息的报错：将安全开发标准应用到项目中
27｜用户账户安全：账户安全体系设计方案与实践

安全配置错误

28｜安全配置错误：安全问题不只是代码安全
29｜Session与Cookie：账户体系的安全设计原理
30｜HTTP Header安全标志：协议级别的安全支持

其他安全风险串讲

31｜易受攻击和过时的组件：DevSecOps与依赖项安全检查
32｜软件和数据完整性故障：SolarWinds事件的幕后⿊⼿
33｜SSRF：穿越边界防护的利刃

综合实战篇

34｜Crawler VS Fuzzing：DAST与机器学习
35｜自动化攻防：低代码驱动的渗透工具积累
36｜智能攻防：构建个性化攻防平台

春节特别策划

春节策划（一）｜视频课内容精选：Web渗透测试工具教学
春节策划（二）｜给你推荐4本Web安全图书
春节策划（三） | 一套测试题，看看对课程内容的掌握情况

结束语

结束语｜无畏前行
期末测试｜来赴一场满分之约吧！

作者介绍

王昊天，螣龙安科创始人兼 CEO。王昊天曾担任某国家级网络安全团队的负责人，在此期间，他和团队承担了多个超大型网络安全事件项目，完成了和 Google、Yahoo、AOL、新华工控等知名公司的安全项目合作。王昊天对 Web 安全、内网渗透、复杂 APT 渗透、网络武器开发、和漏洞利用有较深入研究。他作为主架构师负责过的项目包括：全网域 Web App 漏洞扫描及利用框架、面向邮件系统的 phishing 攻击链、复杂内网环境隐蔽穿透、基于 C 语言开发的高性能高可控隐蔽型 tunnel、基于区块链技术的隐蔽信息传输、基于面向多应用信道的 CASB、基于 NT 内核的文件过滤系统以及抗勒索病毒文件保护系统等等。

作者其他课程

Web安全攻防实战

全面掌握Web安全漏洞原理与攻防技能

王昊天螣龙安科创始人兼CEO

视频课 | 25396人已学习

优惠价￥68原价：199

官网优惠购买