本周我们将在上一周的基础上进一步对文件包含的利用方式进行详尽的讲解。包括日志、Session、fd/envrion等各种文件的包含技术,相信经过本周的学习,同学们将能独立应对大部分文件包含的赛题。
第一章 常见文件包含利用手法(上)
视频1-1 包含上传的恶意文件
视频1-2 包含日志文件
视频1-3 包含PHP的Session文件
欢迎来到《CTF训练营-Web篇》!随着互联网的普及与发展,网络安全也越发成为人们关注的焦点。而在网络安全中,Web安全无疑是其中的一个重点领域。
该课程以CTF比赛中的Web安全为核心,包含了丰富的Web安全攻击和防御知识,帮助学员了解常见的网络攻击方式并掌握一些基本的渗透测试和漏洞利用技术。
通过学习该课程,您将了解常见于CTF比赛中的Web安全攻击手段,例如SQL注入、XSS攻击等。同时,您还将学习如何使用各种工具和技术支持漏洞挖掘、渗透测试、攻防演练等行业实际应用。
学习本课程,你将获得全面的Web安全知识体系,提高实际操作能力,为你今后从事网络安全相关工作打下坚实的基础。
快来开启《CTF训练营-Web篇》的学习之旅吧!
本课程面向希望在Web方向发展的学员,旨在通过由浅入深的课程帮助学员掌握系统化的Web安全知识和良好的解题能力。
由于是体系课,我们将系统化的来学习,因此讲师将本课程分为4大阶段!
第一阶段(入门篇):学习CTF中Web安全需要掌握的最基本的知识、对PHP应用的一类漏洞进行讲解、完成对PHP语言的基础学习。
第二阶段(基础篇):完成对Web安全中一个十分经典,在CTF竞赛中出镜率也极高的Web漏洞的学习——SQL注入。
第三阶段(进阶篇):对一些常见的Web漏洞学习,包括命令/代码执行、文件上传和文件包含。
第四阶段(强化篇):对那些喜欢在难题中出现的考点进行系统化的学习,包括PHP反序列化、SSRF、XXE等,
课程会将理论和实践相结合,帮助学员最大化地完成课程目标。
*下滑导航栏查看具体目录
第1章 Web安全概览(试看)
视频1-1 什么是WEB
视频1-2 什么是WEB安全
视频1-3 如何开始学习WEB安全
第2章 工具介绍与环境搭建
第2周:Web渗透测试的灵魂:信息搜集
视频1-1 什么是渗透测试
视频1-2 信息搜索要做些什么
视频1-3 信息搜集工具与技巧一览
第2章 CTF中的信息搜集
视频1-1 信息搜集在CTF中的体现
视频1-2 CTF中做题的CheckList
视频1-3 信息搜集相关习题精解
第1章 PHP与黑魔法(一)
视频1-1 入门PHP
视频1-2 弱类型概念与strcmp问题
视频1-3 哈希弱比较问题
视频1-4 is_numeric弱比较问题
视频1-5 json_decode弱比较问题
视频1-6 intval函数问题
视频1-7 preg_match函数问题
第4周:SQL注入基础(一)原理与回显注入方式
第1章 SQL基础与SQLi原理
视频1-1 MySQL简介
视频1-2 MySQL基础_语法_函数_数据库
视频1-3 使用PHP代码与MySQL联动
视频1-4 使用PHP操作数据库
视频1-5 SQLi原理
第2章 SQLi基础、联合注入和报错注入
视频2-6 主键重复报错注入
第2章 时间盲注
习题课1 SQLi测试步骤和万能密码
习题课2 两道Union&报错注入
习题课3 如何编写更为高效的SQLi脚本
第8周:SQL注入进阶(一)二次注入、堆叠注入和绕过技巧第9周:SQL注入进阶(二)SQLi到GetShell和MSQQL注入第10周:SQL注入进阶(三)PostgreSQL和MongoDB注入阶段三:进阶 — 深入探讨CTF中常见的“简单”漏洞第14周:命令/代码执行(三)disable_function和openbase_dir的突破第15周:命令/代码执行(四)ThinkPHP RCE漏洞详解第16周:文件上传(一)原理、常见检测绕过和解析漏洞第20周:反序列化漏洞(一)原理、基础知识和POP链第21周:反序列化漏洞(二)Phar反序列化和字符串逃逸第22周:反序列化漏洞(三)ThinkPHP反序列链分析第23周:反序列化漏洞(四)Laravel反序列化链分析第25周:SSRF(二)Soap类SSRF、Gopher在SSRF中的妙用第27周:XXE(二)Blind XXE和例题讲解第30周:前端安全(二)XSS原理、绕过与例题讲解第31周:前端安全(三)CSRF与JSONP安全问题
1、掌握Web安全学习方法
2、具备参与各大线上或线下比赛的能力
3、体系化的Web安全知识