【体系课】CTF训练营-Web篇,全方位立体化学习!
2022-9-29 18:19:7 Author: 看雪学苑(查看原文) 阅读量:22 收藏

微软被黑客攻击泄露源代码、巴西国库遭勒索软件攻击…近年来,这些“爆炸”新闻,无一不与网络安全息息相关。

根据网络安全产业人才发展报告(2021年版),全国每年才输送约3W人才,这远远是不够的。尤其是复工复产的后疫情时代,企业对网络安全人才的需求随之升温,缺口极高!各大公司不得不用高新来吸引人才。

其中,Web安全方向的人才需求量是非常大的。可以面试渗透测试工程师、安全运维工程师、安全服务工程师等岗位,需求量大、工作机会多!

如何全方位、立体化地学习Web安全,提升安全综合能力和行业竞争力?

看雪最新推出的体系课必能助你一臂之力

《CTF训练营-Web篇》

课程简介

本课程面向希望在Web方向发展的学员,旨在通过由浅入深的课程帮助学员掌握系统化的Web安全知识和良好的解题能力。

由于是体系课,我们将系统化的来学习,因此讲师将本课程分为4个阶段!

第一阶段(入门篇):学习CTF中Web安全需要掌握的最基本的知识、对PHP应用的一类漏洞进行讲解、完成对PHP语言的基础学习。

第二阶段(基础篇):完成对Web安全中一个十分经典,在CTF竞赛中出镜率也极高的Web漏洞的学习——SQL注入。

第三阶段(进阶篇):对一些常见的Web漏洞学习,包括命令/代码执行、文件上传和文件包含。

第四阶段(强化篇):对那些喜欢在难题中出现的考点进行系统化的学习,包括PHP反序列化、SSRF、XXE等,

课程会将理论和实践相结合,帮助学员最大化地完成课程目标。

课程收获

  • 掌握Web安全学习方法

  • 具备参与各大线上或线下比赛的能力

  • 体系化的Web安全知识

知识体系/目录

阶段一:入门 — 初入Web安全世界
第1周:Web安全概览、环境配置与工具介绍

第1章  Web安全概览(试看)

  • 视频1-1  什么是WEB

  • 视频1-2  什么是WEB安全

  • 视频1-3  如何开始学习WEB安全

第2章 工具介绍与环境搭建

  • 视频2-1 PHP环境搭建与PHPStudy

  • 视频2-2 Java环境搭建、Burpsuite抓包与HTTP

  • 视频2-3 Python环境搭建、Dirsearch与SQLMap

第2周:Web渗透测试的灵魂:信息搜集

第1章  渗透测试与信息收集
  • 视频1-1  什么是渗透测试

  • 视频1-2  信息搜索要做些什么

  • 视频1-3  信息搜集工具与技巧一览


第2章  CTF中的信息搜集

  • 视频1-1  信息搜集在CTF中的体现

  • 视频1-2  CTF中做题的CheckList

  • 视频1-3  信息搜集相关习题精解

第3周:让开发者如履薄冰的一些“PHP黑魔法”

第1章  PHP与黑魔法(一)

  • 视频1-1  入门PHP

  • 视频1-2  弱类型概念与strcmp问题

  • 视频1-3  哈希弱比较问题

  • 视频1-4  is_numeric弱比较问题

  • 视频1-5  json_decode弱比较问题

  • 视频1-6  intval函数问题

  • 视频1-7  preg_match函数问题

第2章  PHP与黑魔法(二)
  • 视频2-1  函数与get_defined_vars函数

  •  视频2-2  课时6-2extract函数变量覆盖

  •  视频2-3  3parse_str变量覆盖

  •  视频2-4  $变量覆盖

  •  视频2-5  内置类简单介绍

  •  视频2-6  请求参数解析问题

阶段二:基础 — 带你16小时玩转SQL注入

第4周:SQL注入基础(一)原理与回显注入方式

第1章  SQL基础与SQLi原理

  •  视频1-1  MySQL简介

  •  视频1-2  MySQL基础_语法_函数_数据库

  •  视频1-3  使用PHP代码与MySQL联动

  •  视频1-4  使用PHP操作数据库

  •  视频1-5  SQLi原理

第2章  SQLi基础、联合注入和报错注入

  •  视频2-1  SQLi相关函数补充

  •  视频2-2  SQLi全局变量补充与information_schema库操作

  •  视频2-3  字符-数字型注入

  •  视频2-4  联合注入

  •  视频2-5  大整数报错和Xpath报错注入

  •  视频2-6  主键重复报错注入

以下章节陆续更新中...
第5周:SQL注入基础(二)非回显注入方式
第6周:SQL注入基础(三)一些其他的注入方式
第7周:SQL注入基础(四)使用工具进行注入
第8周:SQL注入进阶(一)二次注入、堆叠注入和绕过技巧
第9周:SQL注入进阶(二)SQLi到GetShell和MSQQL注入
第10周:SQL注入进阶(三)PostgreSQL和MongoDB注入
第11周:SQL注入进阶(四)注入技巧与思路拓展
 
阶段三:进阶 — 深入探讨CTF中常见的“简单”漏洞
第12周:命令/代码执行(一)原理和基础知识
第13周:命令/代码执行(二)Bypass技巧
第14周:命令/代码执行(三)disable_function和openbase_dir的突破
第15周:命令/代码执行(四)ThinkPHP RCE漏洞详解
第16周:文件上传(一)原理、常见检测绕过和解析漏洞
第17周:文件上传(二)补充与真题演练
第18周:文件包含(一)原理与前置知识
第19周:文件包含(二)一览包含技巧
 
阶段四:强化 — 迈向主力Web选手之路
第20周:反序列化漏洞(一)原理、基础知识和POP链
第21周:反序列化漏洞(二)Phar反序列化和字符串逃逸
第22周:反序列化漏洞(三)ThinkPHP反序列链分析
第23周:反序列化漏洞(四)Laravel反序列化链分析
第24周:SSRF(一)原理与基础利用
第25周:SSRF(二)Soap类SSRF、Gopher在SSRF中的妙用
第26周:XXE(一)原理和前置知识
第27周:XXE(二)Blind XXE和例题讲解
第28周:SSTI——原理、绕过与例题讲解
第29周:前端安全(一)同源策略攻防
第30周:前端安全(二)XSS原理、绕过与例题讲解
第31周:前端安全(三)CSRF与JSONP安全问题
第32周:Node.js与原型链污染

体系课福利

1、进群1v1指导

2、每章作业实战

3、课上自由答疑互动

课程预售

1、课程采用预售模式
预售时间:2022/5/25—2022/8/25

扫描二维码立即报名
2、预售阶段课程报名达 20 人,则正式开课,提供完整课程内容。
 
3、预报名人数不到 20 人,则退款。
 
4、报名成功且成功开课后,请添加工作人员微信号:kanxuecom,进入课程群。
持续招募中,快来加入看雪课程讲师团队吧~
戳”阅读原文“,我们一起进步

文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458473591&idx=5&sn=80dddb2a88f829f9858ca464a05e516f&chksm=b18e64fd86f9edeb660c0f0168503241715d622c0856f9ae8d8f335e2d1929a6b2ad7d71867f#rd
如有侵权请联系:admin#unsafe.sh