【网络安全】Web安全学习-前言及先导

一、网络安全概述

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因遭到破坏、更改、泄露,系统能连续可靠的正常运行,网络服务不中断。简单来说。就是要保障我们的网络环境安全稳定,不被人破坏捣乱。

网络安全包含的范畴:

1.系统安全:这是保证信息处理和传输系统的安全,侧重于保证系统正常运行,避免因为系统的崩溃和损坏而对系统的存储、处理和传输的消息造成破坏和损失。

2.网络的安全:网络上的系统信息的安全,包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计等。

3.信息传播的安全:即信息传播的后果的安全,包括信息过滤等,侧重于防止和控制由非法、有害信息进行传播所产生的后果。

4.信息内容安全:它侧重于保护信息的保密性、真实性和完整性,避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。

网络安全的学习范畴:

1.网络的基础知识:了解网络的基本概念、协议和架构,比如TCP/IP协议、网络拓扑结构等。

2.计算机基础知识:理解计算机系统的工作原理,熟悉操作系统、硬件和软件的基本知识。

3.信息安全意识:提高对信息安全的认识,了解各类网络攻击的特点和危害。

4.密码学:学习密码学的基本原理和算法,如对称加密、非对称加密等。

5.网络攻击与防御技术:掌握不同类型的网络攻击技术,如入侵检测与防御、恶意软件防护等。

6.安全漏洞分析与修复:了解常见的网络安全漏洞和弱点,学习漏洞分析和修复的方法。

二、Web安全学习路线

##Web安全基础

···本阶段主要讲解Web安全领域下的必备基础知识与工具的使用

···包括网络协议、BurpSuite的使用、SRC挖掘等。

##业务逻辑漏洞

···本阶段主要讲解业内常见的业务逻辑漏洞,以及如何挖掘与利用业务系统逻辑漏洞

···包括URL跳转逻辑漏洞、信息轰炸漏洞、密码找回漏洞等,分析业务各类业务逻辑漏洞成因,以及挖掘与利用方法。

##SQL注入漏洞

···本阶段介绍MySQL数据库的应用与SQL注入实操,以及SqlMap应用

···了解数据库的用途与逻辑,以及Mysql数据库的使用,掌握SQL注入基础与SQL注入靶场的环境搭建,掌握SQL注入的各类注入方法,以及手动注入与自动化注入工具的实操。

##跨站脚本攻击漏洞

···本阶段讲解XSS漏洞原理、攻击手段、XSS漏洞利用方法、BeEF平台的使用,以及XSS漏洞修复手段

···掌握基本前段能力,了解软件前端的运行原理,掌握BeEF的XSS攻击应用、熟悉XSS的漏洞预防手段。

##跨站请求伪造漏洞

···本阶段主要讲解CSRF的成因、危害、攻击手段、漏洞利用、以及防御手段

···讲解CSRF的成因与危害,CSRF的攻击手段及应用,CSRF的防御手段讲解。

##服务器端请求伪造漏洞

···本阶段主要讲解SSRF漏洞的原理与发现,结合SSRF实现对内网敏感资源的获取,基于Redis实现反弹shell,以及SSRF的防御

···SSRF漏洞的基本概念讲解,敏感资源获取以及攻击Redis实现Shell反弹,SSRF常用防御手段讲解。

##漏洞挖掘技巧

···讲解漏洞挖掘的前期准备内容与流程,以及市场主流扫描器的部署、应用,以及漏洞扫描演练

···全面讲解SRC挖掘的前期的信息收集工作(包括IP信息、域名信息、网站信息等),便于后续的SRC的有效进行,讲解各类主流扫描器的应用(包括主动扫描器AWVS,被动扫描器Xray等)。

##文件包含漏洞

···本阶段讲解文件包含漏洞的原理、发现方法、利用手段、漏洞危害,以及主流的漏洞防御手段

···漏洞介绍,漏洞利用,漏洞修复,掌握文件包含漏洞的原理。

##文件上传漏洞

···本阶段主要讲解关于文件上传漏洞的成因、危害、各类检测绕过,以及基于WebShell+管理工具实现文件上传漏洞的攻击手段

···讲解WebShell的实现,以及基于WebShell管理工具的安装使用,讲解漏洞成因以及靶场的环境部署,讲解文件上传漏洞的主流防御机制。

##XML外部实体注入

···主要讲解XML的基本用法,XXE漏洞的探测手段、利用手段、以及常用的漏洞防御手段

···关于XML的基本用法,关于XXE漏洞的危害与探测,以及漏洞利用手段,漏洞的主流防御机制。

##中间件漏洞

···主要讲解中间件的基本概念,以及常用中间件的历史漏洞复现与利用

···中间件介绍,JBoss,Webblogic实现常用中间件的历史版本下的漏洞复现及利用。

##环境部署与主流工具应用

···主要讲解操作系统、基础工具和靶场的部署使用。


上一篇:继承,super,重写,多态,抽象,接口


下一篇:JVM-JAVA-类加载过程