小迪安全2023期笔记汇总-持续更新_小迪安全2023笔记-CSDN博客

Web：语言/CMS/中间件/数据库/系统/WAF等
系统：操作系统/端口服务/网络环境/防火墙等
应用：APP对象/API接口/微信小程序/PC应用等
架构：CDN/前后端/云应用/站库分离/OSS资源等
技术：JS爬虫/敏感扫描/目录爬虫/源码获取/接口泄漏等
技术：指纹识别/端口扫描/CDN绕过/WAF识别/Github监控等

信息打点-Web应用&企业产权&指纹识别&域名资产&网络空间&威胁情报

信息打点-Web应用&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份

信息打点-JS架构&框架识别&泄漏提取&API接口枚举&FUZZ爬虫&插件项目

信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全

信息打点-CDN绕过&业务部署&漏洞回链&接口探针&全网扫描&反向邮件

信息打点-语言框架&开发组件&FastJson&Shiro&Log4j&SpringBoot等

信息打点-APP资产&知识产权&应用监控&静态提取&动态抓包&动态调试

信息打点-小程序应用&解包反编译&动态调试&抓包&静态分析&源码架构审核未通过后续补充

信息打点-红蓝队自动化项目&资产侦察&企查产权&武器库部署&网络空间

信息打点-公众号服务&Github监控&供应链&网盘泄漏&证书图标邮箱资产

安全开发

章节内容(理解能看懂就行了，建议往java靠拢，这里关于php内容并未做太多复现，java相关内容可能会详细些……) 我也顶不住啊

1、PHP：
功能：新闻列表，会员中心，资源下载，留言版，后台模块，模版引用，框架开发等
技术：输入输出，超全局变量，数据库操作，逻辑架构，包含上传&下载删除;
技术：JS&CSS混用，Cookie,Session操作，MVC架构，ThinkPHP引用等。
安全：原生PHP开发安全，模版引用安全，第三方插件安全，TP框架安全等
2、JS：
功能：登录验证，文件操作，SQL操作，云应用接入，框架开发，打包器使用等
技术：原生开发，DOM，常见库使用，框架开发（Vue，NodeJS），打包器(Webpack)等
安全：原生开发安全，NodeJS安全，Vue安全，打包器Webpack安全，三方库安全问题等
3、Java：
功能：数据库操作，文件操作，序列化数据，身份验证，框架开发，第三方组件使用等.
框架库：MyBatis，SpringMVC，SpringBoot，Shiro，Log4j，FastJson等
技术：Servlet，Listen，Filter，Interceptor，JWT，AOP，反射机制待补充
安全：SQL注入，RCE执行，反序列化，脆弱验证，未授权访问，待补充
安全：原生开发安全，第三方框架安全，第三方组件安全等，架构分析

安全开发-PHP应用&留言板功能&超全局变量&数据库操作&第三方插件引用

安全开发-PHP应用&后台模块&Session&Cookie&Token&身份验证&唯一性

安全开发-PHP应用&文件管理模块&显示上传&黑白名单类型过滤&访问控制

安全开发-PHP应用&文件管理模块&包含&上传&遍历&写入&删除&下载&安全

安全开发-PHP应用&模版引用&Smarty渲染&MVC模型&数据联动&RCE安全

安全开发-PHP应用&TP框架&路由访问&对象操作&内置过滤绕过&核心漏洞

安全开发-JS应用&原生开发&JQuery库&Ajax技术&前端后端&安全验证处理

安全开发-JS应用&DOM树&加密编码库&断点调试&逆向分析&元素属性操作

停更了一个月左右，hw也结束了，自己也实习了一个多月，多少对企业真实环境有些了解，实话实说小迪的课程的课程对我帮助还是很大的，虽然被说是基础课程(hah)，感兴趣的朋友进一步去了解；自己写的也仅仅是笔记，是自己觉得蛮重要的点，难免有些不全面，还望见谅 2023-08-26

Web攻防

章节内容

WEB攻防-XSS跨站&反射型&存储型&DOM型&标签闭合&输入输出&JS代码解析

服务攻防

章节内容

代码审计

章节内容

1 、语言审计 - PHP &Net&JS&Java&Python 等

2、漏洞审计-注入&RCE&序列化&未授权等

3、框架审计-MVC&Tp&SpringBoot&Flask等

4、组件审计-FastJson&Log4j&Shrio等

5、工具审计-Fortify&Checkmarx&Bandit等

6、技术审计-DAST&SAST&IAST&动态调试等

7、分析审计-CC调用链&内存马原理&JNDI等