Web安全深度剖析培训课程
培训对象: 面向Web开发人员、安全测试工程师、渗透测试人员及企业Web应用运维人员。适合需要深入理解Web安全漏洞原理、掌握安全测试与修复技术的从业人员。
培训目标: 通过讲解与演示相结合的方式,使学员直观接触Web安全的各个方向,深入了解常见Web攻击方式。掌握Web常见安全漏洞与业务漏洞的利用方法与修复方案,能够独立使用工具进行Web安全测试,提升企业Web应用的整体安全水平。
培训内容介绍:
-
Web安全概述与OWASP TOP 10:学习Web安全的基本概念、OWASP 2017/2021 TOP 10核心漏洞总览,建立Web安全威胁的整体认知。
-
SQL注入全类型深度剖析:掌握GET注入、POST注入、COOKIE注入、布尔盲注、时间盲注、报错注入、堆叠注入等各类SQL注入技术的原理与实战演示。
-
跨站脚本攻击(XSS):学习反射型XSS、存储型XSS、DOM型XSS的攻击原理与构造方法,掌握XSS平台的使用与防御策略。
-
CSRF与SSRF漏洞:深入理解跨站请求伪造(CSRF)的攻击流程与服务端请求伪造(SSRF)的内网探测技术,学习Gopher协议的高级利用方法。
-
文件上传漏洞绕过技术:学习PUT方法利用、前端验证绕过、MIME类型绕过、文件头校验绕过、双扩展名绕过等文件上传漏洞利用技巧。
-
命令执行与代码注入:掌握本地/远程命令执行漏洞的检测方法、命令拼接技巧及Webshell获取技术。
-
反序列化漏洞:学习Java反序列化、PHP反序列化、Python反序列化漏洞的原理,通过Weblogic、ThinkPHP、Struts2等典型框架漏洞案例深入理解。
-
XML外部实体注入(XXE):掌握XXE漏洞的特征识别、利用方法(文件读取、内网探测)及修复方案。
-
暴力破解与弱口令检测:学习使用BurpSuite等工具加载字典对Tomcat、SSH、FTP等服务进行暴力破解测试,掌握密码策略强化方法。
-
业务逻辑漏洞全解析:深入分析支付漏洞(金额篡改、数量修改)、权限漏洞(水平/垂直越权)、密码找回漏洞(验证码爆破、步骤绕过)等业务安全问题。
-
HTTP协议与会话管理:学习HTTP请求方法、状态码、Cookie机制、Session管理,掌握基于HTTP协议的攻击技术与防御策略。
-
Web安全修复实践:从攻击方与防御方双重角度总结Web安全修复方案,学习输入验证、输出编码、参数化查询等安全开发最佳实践。
如果您想学习本课程,请
预约报名
如果没找到合适的课程或有特殊培训需求,请
订制培训
除培训外,同时提供相关技术咨询与技术支持服务,有需求请发需求表到邮箱soft@info-soft.cn,或致电4007991916
技术服务需求表点击在线申请
服务特点:
海量专家资源,精准匹配相关行业,相关项目专家,针对实际需求,顾问式咨询,互动式授课,案例教学,小班授课,实际项目演示,快捷高效,省时省力省钱。
专家力量:
中国科学院软件研究所,计算研究所高级研究人员
oracle,微软,vmware,MSC,Ansys,candence,Altium,达索等大型公司高级工程师,项目经理,技术支持专家
中科信软培训中心,资深专家或讲师
大多名牌大学,硕士以上学历,相关技术专业,理论素养丰富
多年实际项目经历,大型项目实战案例,热情,乐于技术分享
针对客户实际需求,案例教学,互动式沟通,学有所获
