网络安全与渗透测试学习目录

本文详细介绍了网络安全的多个关键领域,包括漏洞的三要素、攻击类型、RCE、DoS等安全概念,以及渗透测试的步骤和工具如KaliLinux、Metasploit。此外,讨论了XSS、SQL注入的防御策略,数字签名在认证中的作用,会话管理和CSRF攻击的防范。还涉及服务器端文件安全原则和反序列化漏洞,提供了丰富的学习资源和CSDN的大礼包链接。
摘要由CSDN通过智能技术生成

第一部分:漏洞和安全基础
 要点:漏洞三要素,攻击类型,RCE,DoS,外部攻击和内部攻击,CVE,安全风险,Open Web Application Security Project(OWASP),OWASP 的十大安全风险排名,深刻理解注入攻击(经典的溢出注入和 SQL 注入),重要的学习资源 ——DVWA、mutillidae 样本网站,Botnet 和黑色产业链
 
第二部分:渗透测试
 要点:Pentest,背景,测试过程,重要资源,Kali   Linux, Metasploitable 2,BackBox,环境搭建,渗透测试的五大步骤详细介绍,Whois,WhatWeb, NMAP,ZenMap,PingScan,静态扫描工具,OpenVas,Metasploit Framework(MSF)详细解析,主机入侵完整过程演示(利用 IRC 漏洞远程登录被攻克目标机),Armitage;DoS 攻击
 
第三部分:XSS 攻击和浏览器安全
 要点:演示和理解 XSS 攻击,Reflected XSS (Type-1 XSS),Stored XSS(Type-2 XSS), DOM-based XSS (Type-0 XSS),使用 XSSER 扫描 XSS 漏洞,防卫方法:输出编码,净化输入;使用 BeE 颠覆 IE,Burp Suite 详解(Intruder, Comparer, Repeater, Decode, Sequencer),Burp Suite 演示
 
第四部分:SQL 注入和数据库安全
 要点:SQL Injection,原理,演示,真实案例:2011 年 LulzSec 组织对 Sony   Music 网站的 SQL Injection 攻击,防卫方法;设置数据库许可,存储过程,绑定参数,特权控制,ad-hoc SQL,直接对象引用,实例演示
 
第五部分:数字签名和用户认证
 要点:对称加密,非对称加密,RSA 算法,公钥,私钥,两种基本应用模式,Public Key Infrastructure (PKI),数字证书,X.509V3   ,Key 的保护和管理,对文件进行数字签名的工具和方法,文件加密,案例分析:12306 网站的数字证书,基于密码(Password)的认证,密码攻击,Man-in-the-Middle 攻击(Hash-Identifier 和 findmyhash 工具演示),使用 Hydra 暴力破解密码,关于密码保护的最佳实践,Single sign-on (SSO),OAuth,OAuth1(RFC-5849),   OAuth1 的安全漏洞,OAuth2(RFC 6749),服务提供者,注册,认证过程,   两次重定向,重定向风险
 
第六部分:会话管理和 CSRF 攻击
 要点:认证和授权,授权基础,会话管理,Cookie 原理,Cookie 的属性,Cookie 的使用过程,在浏览器中观察 Cookie,Cross-Site Request Forgery (CSRF), Session Hijacking,GUI 劫持,最佳实践:强制会话超时,控制会话并发,安全使用 cookie,HttpOnly ,SSL 和 HTTPS
 
第七部分:服务器端文件安全原则
 要点:使用有漏洞的组件(2017-A8),XcodeGhost,利用漏洞上传文件,Tomcat RCE,CWE-434(允许上传危险类型文件),服务器被上传文件的案例分享,访问敏感信息,2017-A4(XML 外部引用),forceful browsing,目录枚举,不安全的直接对象引用(文件包含和相对路径),扩展名猜测,LINUX 操作系统的安全漏洞,配置不当,2017-A10(日志和监视不足),关于日志和审计的最佳实践
 
第八部分:反序列化
 要点:序列化背景,对象序列化,反序列化,2017-A8,对象篡改,破坏数据完整性,提升特权,DoS 攻击演示,JavaSerialKiller,YSOSerial,已经公布的漏洞,检测工具

第九部分:漏洞扫描
 要点:源代码扫描和黑盒扫描,Coverity 介绍,工作过程,AST 树,Checkers,三类事件,误报问题和函数建模,W3AF 介绍和用法演示,OWASP ZAP 用法和演示

网络安全学习资源分享:

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

在这里插入图片描述

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享🎁

同时每个成长路线对应的板块都有配套的视频提供:

在这里插入图片描述

在这里插入图片描述

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享🎁

因篇幅有限,仅展示部分资料,需要点击上方链接即可获取

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值