web安全學習路線

聲明：不得利用所學知識進行非法攻擊

學習大綱

理論基礎

SQL注入

前端攻擊

文件上傳

文件包含

安全加固

實戰演練環節

演示環境采用linux  Apache  php  mySQL

學前知識點

1、了解web應用的概念、web應用系統的工作原理

2、數據庫相關知識在SQL注入課程中會用到

3、web相關知識html、JavaScript、web腳本等知識在前端攻擊和文件上傳中會用到

4、操作系統知識比較雜，比如應用程序對文件名的解析、web中間件、數據庫運行權限、目錄權限等知識在文件上傳以及安全加固課程中用到

重點知識點

SQL注入、前端攻擊、文件上傳、文件包含，我們將從代碼級別進行漏洞原理的解析，從實戰角度進行漏洞威脅的演示，從漏洞的處理講解如何防御，防御手段可以是修改代碼，直接修改代碼進行加固可以從本質上解決問題，當然也可以采用第三方的安全設備，比如web應用防火墻，采用web應用防火墻的目的是：比如現在我們發現了一個漏洞，但是因為我們的開發人員沒有足夠的時間去修改，但是這個時間段可能會有黑客攻擊，那我們就可以采用第三方的安全設備，先對攻擊進行一定的封堵，然后我們的開發人員再從代碼去做實質性的修改，以達到我們的系統安全，在最后一節我們將進行一個實例，來講解web應用加固。實例環境還是linux  Apache  php  mySQL 這部分內容主要是對web應用系統的運行環境進行加固。如web服務器操作系統的目錄權限控制，web中間件的運行權限控制，配置文件參數選項，比如：Mysql的文件，Apache的配置文件，以及操作系統的敏感配置文件，從這幾個方面進行加固，最終我們可以自己打造出一款非常安全的linux  Apache  php  mySQL環境，同時我們還對我們的操作系統進行了加固，以保證我們的web應用系統的安全。