第一天

2022.6.20

目录

• Web安全
  • Web 安全基础技术
    • == 为什么前后端分离 ==
    • Web前端-html基础
    • Web前端-css ,javascrip
    • 网站的运行原理
    • Web框架的运作原理
    • HTTP协议
    • 常见Web漏洞
    • Web后端-MySQL基础
    • WebApp-Framework基础
    • 如何使用python搭建一个基础站点
    • 工具使用burpsuite cURL Postman
    • 浏览器插件 Wappalyzer hackbar
  • 安全攻防实战
    • 文件上传与网站木马，攻击和防御
    • 注入攻击
      • GET型注入
        • 错误注入
      • POST注入
        • union注入
      • 时间盲注
        • 主要脚本，注入点隐蔽
      • 自动化注入
        • sqlmap
      • HTTP头注入
      • 混淆注入
        • 主要注入，注入点隐蔽
      • 二次注入
      • SQL注入之命令执行
      • NoSQL注入
      • 加密算法与随机数
      • Linux文件权限
    • 框架安全
      • Spring MVC
        • 命令执行——措施
    • 保证前端安全
    • 容器安全
      • Apache/Niginx/Tomcat容器安全及攻击方式
        • HTTP parameter Pollution
      • 防御方式
    • 语言本身的问题
      • PHP语言安全
      • Javaweb安全
    • == DDoS及防御
      • SYN泛讲，UDP泛讲，ICMP泛讲
      • 资源耗尽攻击：Slowloris攻击，HTTP POST DoS,Server Limit Dos
        • 实时攻击图
    • 引出访问控制
      • 垂直权限管理
      • 水平权限管理
  • 互联网公司安全运营
    • 互联网业务安全
      • 业务逻辑安全——羊毛党
      • 关于网络钓鱼：钓鱼网站，邮件鱼，钓鱼网站的防控
      • 用户隐私的保护
    • 安全开发流程（SDL）
    • 安全运营
      • 漏洞修补
      • 安全监控

Web安全

Web 安全基础技术

== 为什么前后端分离 ==

性能问题和学习成本问题

Web前端-html基础

HTML hyperText Markup Language 超文本的标志语言
*html帮助文档

<!DOCTYPE html>  //版本声明 不是HTML标签，指示web浏览器关于页面使用哪个HTML版本进行编写的指令


<html lang="en">

<head> //头部部分，涉及页面标题，字符集，样式，链接
    <meta charset = "UTF-8">
    <title>HELLO WORLD</title>
</head>

<body> //主体部分
    <h1>大家好，我是标题1</h1>
    <h2>大家好，我是标题2</h2>
    <p>大家好，我是段落</p>
</body>

</html>

头部部分中

涉及页面标题，字符集，样式，链接
<title>  页面标题必须存在
<base>   为所有链接指向的默认地址
<link>   定义文档与外部资源之间的关系
<style>  定义样式信息
<script> 定义客户端脚本，比如javascript
<meta>   定义关于HTML文档的元数据，用于规定页面的描述、关键词、文档作者、搜索引擎会利用meta元素中的name和content属性来搜索页面

主体部分

浏览器展示给用户的内容，包括标题、文本、段落、链接、图片、媒体、所有的页面都由HTML主体部分标签来实现
<p>hello</p>                标识一个段落
<a herf = "url" >text</a>   标识一个连接文本
<ol><ul><li>                列表相关
<img>                       标识一个图片信息
<b><i>                      字体相关标签
<form><input>               表单相关标签
标签之间可以按照规则嵌套

标签
html页面是由标签和内容组成，成对出现，开始和结束标签

&nbsp             空格标签，有几个空格就有几个标签
<p></p>
<h1-6>            6级标签
<img src = ""/>   引号里面填写地址，如果和文档放在一个空间就直接写，图片名.jpg   就OK了
<!--注释内容-->
<hr/>             水平线
<br/>             拆行——在句子中出现，后面句子另起一行
<b>               粗体
<i>               斜体
<tt>              打字机文本
<u>               下划线
<sup><sub>        上下标
<s>               删除线
<a></a>           超链接——链接可以是一个句子，也可以是一幅图片
<a href="URL">...</a>
 
<a href="http://www.baidu.com">百度</a>
 
<a href="http://www.baidu.com"><img src="1.jpg"/></a>

列表

无序列表unorder（圆点）	square/circle/disk

• 第一个
• 第二个

有序列表order（数字）	通过type属性来改变

1. 第一个
2. 第二个

1. 第一个
2. 第二个

|自定义列表|
| ---- | ---- |

项目号

C#

内容

元素
HTML元素是指开始标签到结束标签的所有代码，包括开始结束标签

<p>hello</p>

属性

属性一般描述于开始标签中，用于对元素提供附加信息

<img src = "image/snake.png"width = 30%heigh = 30%, alt = "图片加载失败"/>

Web前端-css ,javascrip

网站的运行原理

Web框架的运作原理

HTTP协议

常见Web漏洞

Web后端-MySQL基础

WebApp-Framework基础

如何使用python搭建一个基础站点

工具使用burpsuite cURL Postman

浏览器插件 Wappalyzer hackbar

安全攻防实战

文件上传与网站木马，攻击和防御

注入攻击

GET型注入

错误注入

POST注入

union注入

时间盲注

主要脚本，注入点隐蔽

自动化注入

sqlmap

HTTP头注入

混淆注入

主要注入，注入点隐蔽

二次注入

SQL注入之命令执行

NoSQL注入

加密算法与随机数

Linux文件权限

框架安全

Spring MVC

命令执行——措施

保证前端安全

graph LR A(保证前端安全)-->B1(xss) A-->B2(跨站请求伪造) A-->B3(点击劫持及其防御) A-->B4(HTML5安全及其新标签) B1-->C1(反射型) B1-->C2(储存型) B1-->C3(DOM型) B2-->D1(xss+跨站请求伪造) D1-->E1(攻击实例) D1-->E2(防御+同源策略) D1-->E3(同源策略下的安全开发) B3-->C4(点击劫持及其防御) C4-->E4(Flash点击劫持+图片覆盖攻击+拖拽劫持及数据窃取)

容器安全

Apache/Niginx/Tomcat容器安全及攻击方式

HTTP parameter Pollution

防御方式

语言本身的问题

PHP语言安全

graph LR A(php语言安全)-->B1(文件包含漏洞) A-->B2(文件覆盖漏洞) A-->B3(代码执行漏洞)

Javaweb安全

== DDoS及防御

SYN泛讲，UDP泛讲，ICMP泛讲

资源耗尽攻击：Slowloris攻击，HTTP POST DoS,Server Limit Dos

实时攻击图

引出访问控制

垂直权限管理

水平权限管理

互联网公司安全运营

互联网业务安全

业务逻辑安全——羊毛党

关于网络钓鱼：钓鱼网站，邮件鱼，钓鱼网站的防控

用户隐私的保护

安全开发流程（SDL）

安全运营

漏洞修补

安全监控