day1,day2:
web安全
一些常见的web漏洞:
1 弱口令
2 xss(跨站脚本)中危
3 sql注入
4 CSRF(跨站请求伪造)(如伪造官网,获取输入信息)
5 文件上传,文件包含
6 目录遍历()
7 RCE远程命令,代码执行
8 文件包含()
9 逻辑漏洞
水平越权,垂直越权(低权限用户可操作高权限用户操作)
day3:
渗透测试常用工具:
nmap(扫描网络)
dirsearch(扫)
Jsfinder()
Goby
Xray
Fscan
Sqlmap(sql注入神器)
Awvs(扫web)
Nessus(扫主机)
溯源报告分析
day4:
中间件漏洞介绍,如何识别中间件漏洞
(建房子:容器 地皮 ,框架 房子,cms 内部装修 )
1. cms(伪静态)(用来快速部署网站的)(内容管理系统)yzmcms(轻量级开源内容管理系统)
2.容器(网站环境)(一个页面需要一个环境)
Nginx(异步框架的网站服务器)
(容器是水,网站是鱼,有水才会有鱼)
反向代理:位于web服务器前面的服务器(中间人的作用)
负载均衡技术:(分流)
3.框架
4. 中间件(位于操作系统和更高一级应用程序之间)(用来做连接的,没有固定的定义,是相对的)
面试
僵尸网络,木马事件,蠕虫等