本课程将展示如何为网络应用测试建立一个渗透测试实验室，你将学习如何执行侦察和分析。完成这些初始步骤后，您将了解如何利用多种漏洞，包括身份验证、会话管理、基于注入的方法、跨站点脚本编写、跨站点请求伪造和它们的加密实现。您还将学习如何评估和执行应用程序编程接口(API)危害、客户端危害和其他web应用程序漏洞危害。

本课程的主要目标不是执行恶意危害，而是为您提供逐步的指导，以便您可以学习道德白帽、渗透测试和安全态势评估，因为它与web应用程序有关。通过本课程教授的技能，您将了解到许多前沿危害安全技术相关的各种概念。课程包含多媒体教程和动手演示,用户可以适用于真实场景,并且网络安全资深专家奥马尔·桑托斯为感兴趣的人提供了一些关键建议，包括如何成为一个职业道德白帽，或仅仅是跟上不断变化的漏洞威胁，让你或你的客户网络的web应用程序更加安全。

适合人群

所有开始从事职业白帽和渗透测试工作的网络安全专业人员
准备考取CompTIA PenTest+，道德白帽认证(CEH)，危害安全专家认证(OSCP)，以及其他道德白帽认证的人
软件开发者：希望了解如何评估应用程序的安全性，以及如何通过安全编码实践来预防潜在的安全漏洞。

讲师介绍

奥马尔·桑托斯查看讲师主页

思科产品安全事件响应团队首席工程师

擅长领域:

运维安全

科产品安全事件响应团队(PSIRT)的首席工程师，指导和领导团队工程师和事件经理对安全漏洞进行调查和解决。桑托斯著有20多本网络安全方面的专著，在全球拥有大量读者，他制作的大量白皮书、文章、安全配置指南等相关内容被大量媒体引用，如《共和报》、《连线》、《ZD-Net》、《网络独家新闻》、《TechCrunch》、《财富》、《Ars Technica》等等。同时，他还是网络安全社区的一名活跃成员，他参与很多重要行业的网络安全倡议和标准制定。他还会积极帮助企业、学术机构、州和地方执法机构，提高关键基础设施的安全性。

机械工业出版社查看讲师主页

传播工业技术、工匠技能和工业文化，助力我国自主创新能力提升

擅长领域:

智能制造
企业创新与商业模式
数字化思维与认知
数字化领导力

机工社先后获评“全国优秀出版社”“全国百佳出版单位”“中国500最具价值品牌”“世界媒体500强”“国家文化出口重点企业”“中国版权最具影响力企业”“中国图书海外馆藏影响力出版100强”和“教育部教材出版基地”。机工旗下出版物曾获得全国科学大会奖、国家图书奖、中国出版政府奖、全国优秀科技图书奖、中国好书、全国教材建设奖等众多国家奖项。机工社新世纪的快速发展，在业界引起广泛关注，2014年其改革发展实例被收录进哈佛大学案例库应用于教学实践，并通过哈佛大学的出版网络向全球发行，成为中国文化产业战略管理“走出去”第一家。传播工业技术、工匠技能和工业文化，助力我国自主创新能力提升，是机工社的使命与追求。愿与各界机构、各界人士携手同行，集知播识，再铸辉煌。

课程大纲

共0节时长0分钟全部收起

课程导读

图文

当今DevOps和云环境的安全渗透测试

2分钟

第1课：Web应用程序渗透测试简介

共6节 | 21分钟

1.0 学习目标

1分钟
1.1 了解道德白帽和渗透测试

3分钟
1.2 查看Web应用渗透测试方式

5分钟
1.3 理解Web应用渗透测试的需要

4分钟
1.4 探索Web应用程序的发展变化

5分钟
1.5 探索应知应会的编程语言

3分钟

第2课：面向安全专业人员的Web应用程序概述

共9节 | 43分钟

2.0 学习目标

1分钟
2.1 了解Web应用协议

10分钟
2.2 探索HTTP请求和响应

4分钟
2.3 查看会话管理和cookie

7分钟
2.4 DevOps介绍

3分钟
2.5 探索云服务

5分钟
2.6 探索Web应用程序框架

4分钟
2.7 查看Docker容器

6分钟
2.8 Kubernetes介绍

3分钟

第3课：构建自己的Web应用程序实验室

共9节 | 29分钟

3.0 学习目标

1分钟
3.1 探索Kali Linux

13分钟
3.2 了解易受危害的应用

1分钟
3.3 实践DVWA

2分钟
3.4 实践WebGoat

2分钟
3.5 实践Hackazon

2分钟
3.6 探索Web Security Dojo

3分钟
3.7 了解Web应用程序代理

3分钟
3.8 了解网络范围和夺旗活动

2分钟

第4课：侦察和分析Web应用程序

共11节 | 52分钟

4.0 学习目标

1分钟
4.1 了解被动侦察与主动侦察

3分钟
4.2 使用搜索引擎和公共信息

3分钟
4.3 搜素Shodan，Maltego……

10分钟
4.4 探索CMS和框架识别

3分钟
4.5 查看网络爬虫和目录暴力破解

3分钟
4.6 了解Web应用程序扫描仪的工作原理

1分钟
4.7 Nikto介绍

2分钟
4.8 Burp Suite介绍

14分钟
4.9 OWASP Zed应用代理（ZAP）介绍

3分钟
4.10 OpenVAS介绍

8分钟

第5课：身份验证和会话管理漏洞

共3节 | 25分钟

5.0 学习目标
5.1 了解网络应用中的认证机制和相关漏洞

16分钟
5.2 探索会话管理机制和相关漏洞

9分钟

第6课：利用基于注入的漏洞

共8节 | 31分钟

6.0 学习目标

1分钟
6.1 理解命令注入

2分钟
6.2 利用命令注入漏洞

3分钟
6.3 理解SQL注入

5分钟
6.4 利用SQL注入漏洞

17分钟
6.5 理解XML注入

1分钟
6.6 利用XML注入漏洞

2分钟
6.7 缓解注入漏洞

2分钟

第7课：跨站点脚本编制（XSS）和跨站点请求伪造漏洞

共9节 | 20分钟

7.0 学习目标

1分钟
7.1 介绍XSS

1分钟
7.2 利用反射型XSS漏洞

2分钟
7.3 利用存储型XSS漏洞

3分钟
7.4 利用基于DOM的XSS漏洞

2分钟
7.5 理解跨站点请求伪造（CSRF）

1分钟
7.6 利用CSRF漏洞

2分钟
7.7 规避Web应用程序安全控制

3分钟
7.8 缓解XSS和CSRF漏洞

5分钟

第8课：利用弱加密实现

共5节 | 27分钟

8.0 学习目标

1分钟
8.1 介绍密码学、加密和散列协议

15分钟
8.2 识别数据存储和传输中常见的缺陷

5分钟
8.3 查看基于密码的侵入和漏洞的例子

3分钟
8.4 减轻加密实现中的缺陷

2分钟

第9课：侵入应用程序编程接口（APIs）

共3节 | 7分钟

9.0 学习目标
9.1 理解APIs

2分钟
9.2 探索用于测试APIs的工具

5分钟

第10课：客户端侵入

共5节 | 13分钟

10.0 学习目标
10.1 查看客户端代码和存储

4分钟
10.2 了解HTML5实现

6分钟
10.3 了解AJAX实现

2分钟
10.4 减轻AJAX、HTML5和客户端漏洞

1分钟

第11课：附加的Web应用程序安全漏洞和侵入

共5节 | 17分钟

11.0 学习目标

1分钟
11.1 了解网络应用程序中其他常见的安全漏洞

2分钟
11.2 利用不安全的直接对象引用和路径遍历

5分钟
11.3 查看信息披漏漏洞

1分钟
11.4 Web应用程序模糊测试

7分钟

课程总结

1分钟

课后测试

共5题

购课须知

课程有效期：

自购买课程之日起 365 天，部分参与营销活动产品以活动规则为准，请同学在有效期内学习、观看课程。

上课模式：

课程采取录播模式，请注意自学课无班级微信群、班主任带班及助教批改服务。

注：自学课不支持退款，确保你是真的需要再进行报名，报完名之后还请认真学习。

点击下载
三节课App 微信扫码
关注三节课公众号