1+x证书-网络安全

6月20日-21日9：00-12：00 14：00-17：00

1+X 证书

网络安全基础
OSI 网络安全渗透测试
Windows 操作系统安全配置
Linux 操作系统安全渗透测试
Web 服务端\客户端渗透测试 
SQL 注入漏洞利用及其安全开发
命令注入漏洞利用及其安全开发 
XSS 漏洞利用及其安全开发
CSRF 漏洞利用及其安全开发
Windows 操作系统ShellCode 开发
Linux 操作系统 ShellCode 开发
针对缓 冲区溢出漏洞的安全开发技术

0.web攻击的几种方式

• 1、SQL注入攻击
• 2、xss攻击
• 3、文件上传漏洞
• 4、文件包含漏洞

1、web网页编程基础

• HTML基本标签
• CSS基本语法
• JS的基本语法
• PHP的基本语法

2、web攻击方式

• 1、SQL注入
• SQL语句基础

-- 1、登录 mysql -u -root -p

-- 2、查询数据库命令 show databases；

-- 3、切换数据库 use

-- 4、查看数据表 show tables；

-- 5、查看表中的数据 select

-- 6、创建数据库 create database 数据库名

-- 7、创建表 create table users

-- 8、创建数据 insert into users （username ， password）values （”zhangsan“，’123‘）

• 2、构造SQL注入语句

• SQL回顾

• 3、防范SQL注入

-- 1、对用户输入进行校验，正则表达式限制，或限制长度；对单引号和双引号进行转换等

-- 2、永远不要使用动态拼装sql，可使用参数化的SQL或者直接使用存储过程进行数据查询存取

-- 3、永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接

-- 4、不要把机密信息直接存放，加密或者hash掉密码和敏感的信息

-- 5、应用异常信息应该给出尽可能少提示，最好使用自定义的错误信息对原始错误信息进行包装

-- 6、sql注入的检测方法一般采取防火墙软件或网站平台来检测，注入网站安全狗软件防火墙，安全狗网站安全检测等。

• 4、XSS攻击
• XSS攻击原理 输入框中构造js代码，执行攻击目的

• XSS挑战之旅 网站 http://xss-ctf.xiejiahe.com/

• 5、文件包含漏洞

• 文件包含漏洞原理 include 文件包含
• 文件包含漏洞分类
• 文件包含漏洞利用

• 文件包含漏洞练习

• 6、文件上传漏洞

• 文件上传漏洞原理 PHP一句话木马
• 文件上传漏洞检查点 客户端 服务端限制

0、web攻击的几种方式

一、web网页编程基础

 1、HTML基本语法