课程简介
课程简介
网络安全行业的特殊性决定了网络安全人才除了需要有扎实的理论基础,更需要有高超的实战能力,才能应对纷繁复杂的网络环境及层出不穷的攻击手段,“以赛促练”的网络安全竞赛是培养实战型人才的绝佳手段,也是快速检验网络安全人才技能的途径。
CTF-Web安全课程主要针对网络安全CTF竞赛中Web安全相关知识点进行解析,包括SQL注入、RCE、SSRF、XXE、反序列化、模板注入等常见Web应用漏洞等相关题型的知识点归纳、原理讲解、工具使用、解题技巧等,并且在培训过程中提供的练习题均为国内外各大网络安全顶级赛事中的竞赛真题。
目标学员
目标学员
  • 对CTF竞赛感兴趣的人员

课程收益
课程收益
  • 掌握CTF解题赛中Web安全方向涉及到的Web安全题目的原理

  • 掌握CTF-Web安全方向各种题型的解题技巧、工具使用、漏洞利用脚本编写

  • 近两年顶级赛事真题分享与实操练习

入学条件
入学条件
  • 有一定的Web安全基础

  • 对Linux系统、Python基础有一定掌握

课程纲要
课程纲要
前端安全
  • XSS题型分析

  • JS原型链污染

  • Cookie安全

注入漏洞
  • SQL注入

    • 五种盲注

    • 异或注入

    • 堆叠注入

    • 替换ByPASS

  • RCE

    • 无参与无回显RCE

    • 替换ByPASS

  • XXE

  • XXE

文件型漏洞
  • 文件上传

    • 文件上传绕过

    • 解析漏洞

  • 文件包含

    • 伪协议利用

    • session包含

    • 包含日志与临时文件

SSRF
  • SSRF原理

  • SSRF Bypass

  • SSRF攻击MySQL

  • SSRF攻击Redis

  • SoapClient

  • SSRF例题分析

反序列化&php
  • 反序列化

    • 魔术方法

    • Phar反序列化

    • Session序列化

  • php

    • 弱类型变量覆盖

    • 伪随机数

    • parse_url

    • disable_fun绕过

    • disable_fun绕过

前端安全
  • XSS题型分析

  • JS原型链污染

  • Cookie安全

注入漏洞
  • SQL注入

  • 五种盲注

  • 异或注入

  • 堆叠注入

  • 替换ByPASS

  • RCE

  • 无参与无回显RCE

  • 替换ByPASS

  • XXE

文件型漏洞
  • 文件上传

  • 文件上传绕过

  • 解析漏洞

  • 文件包含

  • 伪协议利用

  • session包含

  • 包含日志与临时文件

SSRF
  • SSRF原理

  • SSRF Bypass

  • SSRF攻击MySQL

  • SSRF攻击Redis

  • SoapClient

  • SSRF例题分析

反序列化&php
  • 反序列化

  • 魔术方法

  • Phar反序列化

  • Session序列化

  • php

  • 弱类型变量覆盖

  • 伪随机数

  • parse_url

  • disable_fun绕过

课程安排
课程安排
第一天

上午:SQL注入题型分析

下午:文件上传与文件
  包含题型分析

第二天

上午:XXE、RCE题型分析

下午:逻辑漏洞和前端安全

第三天

上午:SSRF题型分析

下午:反序列化漏洞题型分析

第一天

上午:SQL注入题型分析

下午:文件上传与文件
   包含题型分析

第二天

上午:XXE、RCE题型分析

下午:逻辑漏洞和前端安全

第三天

上午:SSRF题型分析

下午:反序列化漏洞题型分析

培训讲师
培训讲师
  • 董老师
    CTF高级讲师,主要负责Web安全方向。曾分别在强网杯、护网杯、网鼎杯、XCTF等多个国内顶级赛事中获得过一、二等奖,对CTF竞赛中Web安全方向常见的知识点有深入的研究。
  • 白老师
    十年网络安全从业经验,渗透测试与CTF竞赛高级讲师。曾参与金融、通信、政府等多行业的网络安全竞赛培训,并担任国内多个国家级及行业级(电网行业、通信行业、教育行业、医疗行业、最高检等)网络安全竞赛出题人及技术及负责人,拥有丰富的网络安全出题及技术支撑经验。
报名联系方式
报名联系方式
孙老师
18210671925
版权所有 2003-2022 新华三技术有限公司.保留一切权利.浙ICP备09064986号-1浙公网安备 33010802004416号