graph lr
web安全攻防要點--> 客戶端指令碼安全
客戶端指令碼安全-->瀏覽器安全
客戶端指令碼安全-->跨站指令碼攻擊xss
跨站指令碼攻擊xss-->反射型
跨站指令碼攻擊xss-->儲存型
跨站指令碼攻擊xss-->dom型
客戶端指令碼安全-->跨站點偽造csrf
客戶端指令碼安全-->點選挾持clickjacking
客戶端指令碼安全-->網頁釣魚
web安全攻防要點-->伺服器應用安全
伺服器應用安全-->認證與會話管理
伺服器應用安全-->訪問控制
伺服器應用安全-->加密演算法安全
伺服器應用安全-->sql注入攻擊
sql注入攻擊-->get注入
sql注入攻擊-->post注入
sql注入攻擊-->http頭注入
伺服器應用安全-->檔案上傳漏洞
伺服器應用安全-->web框架漏洞
伺服器應用安全-->拒絕服務攻擊(應用層和傳輸層)
伺服器應用安全-->開發語言安全
開發語言安全-->檔案上傳漏洞
開發語言安全-->變數覆蓋漏洞
開發語言安全-->**執行漏洞
伺服器應用安全-->webserver配置安全
webserver配置安全-->遠端命令執行
web安全攻防要點-->c(業務邏輯安全)
WEB安全攻防學習內容
一 網路安全篇 tcp ip協議初識 linux作業系統基礎 網路漏洞掃瞄與資訊收集 口令攻擊 服務安全 日誌安全 安全基線加固 防火牆vpn安全接入 網路無線原理和安全防護 二 程式設計篇 初識python python網頁 網路連線程式設計 python多執行緒程式設計 python高階課程 p...
Metasploit基礎 WEB安全攻防讀書筆記
0xx1 metasploit基礎 auxiliaries 輔助模組 不會在測試者和目標主機之間建立訪問,只負責進行掃瞄,嗅探,指紋識別等相關功能輔助滲透 exploit 漏洞利用模組 漏洞利用是指由滲透測試者利用乙個系統,應用或服務中的安全漏洞進行的攻擊行為 payload 攻擊載荷模組 攻擊載荷...
WEB安全攻防 sql手動注入
1.1 sql注入介紹 sql注入就是指web應用程式對使用者輸入資料的合法性沒有判斷,前端傳入後端的引數時攻擊者可控的,並且引數代入資料庫查詢,攻擊者可以通過構造不同的sql語句來實現對資料庫的任意操作 sql注入漏洞需要滿足兩個條件 a 引數使用者可控 b 引數帶入資料庫查詢,傳入的引數拼接到s...