思否讲堂 | 系列讲座：WEB 安全攻防实战

讲师简介

汤青松（ https://segmentfault.com/u/songboy ），外号 daxia，现任中国婚博会 PHP 高级工程师，同时也是 WEB 安全高级讲师，工作中一直对 WEB 安全开发比较关注。曾任乌云众测、p2p 平台网利宝研发以及安全建设工作，2017 全球 PHP 开发者大会安全话题讲师。

系列课程简介

《 WEB 安全攻防实战 》是一套成体系的课程，主要包含了 SQL 注入、XSS、密码找回、代码审计、漏洞挖掘等方面的内容，旨在让大家学完这套课程后在 WEB 安全领域有所进步，如在开发的时候能考虑到如何编写更安全的代码，在做安全测试的时候能清晰地知道漏洞背后的原理等。

课程目录

第一节 WEB 安全——信息收集

在渗透测试中，搜集目标资料是渗透测试人员的必备技能。这可谓知己知彼，百战不殆。

在搜集目标资料时应该搜集哪些资料呢？

第二节 WEB 安全——常规漏洞

相信大家都听过 SQL 注入、XSS 跨站等词语，那么大家是否知道 WEB 安全漏洞分为哪几种？常规漏洞有哪些？

第三节 WEB 安全——漏洞检测工具 burp suite 的使用

这节课将教大家如何使用 burp suite 对网站进行安全扫描、如何爆破账号密码等。

第四节 WEB 安全——用户密码找回多案例安全攻防实战

大部分网站为了防止用户遗忘密码，提供了找回密码的功能。在找回密码时，除了自己的密码，如果还能找回其他用户的密码，那就存在密码找回漏洞。

本节课将通过讲解一些互联网的经典案例，用 permeate 测试系统来进行实战演练。

第五节 WEB 安全——如何写出更安全的代码？

目前很多公司都以业务型代码开发、快速开发上线为主要目的，在代码安全方面参差不齐。本节课将通过代码审计作为引线，和各位同学一起探讨如何写出更安全的代码。

第六节 WEB 安全——深度解析 HTTPS 数据传输加密原理

目前各大浏览器已经把非 HTTP 页面标示为不安全的网站，所以很多网站都在部署 HTTPS，那 HTTPS 为什么安全？其中的加密算法又是怎样的呢？