JK-Web漏洞挖掘实战

导读解读OWASP Top10 2021

开篇词从黑客的视角找漏洞，从安全的角度优雅coding

10.结束语

结束语无畏前行

2.失效的访问控制

01失效的访问控制：攻击者如何获取其他用户信息？

02路径穿越：你的Web应用系统成了攻击者的资源管理器？

03 _ 敏感数据泄露：攻击者如何获取用户账户？

04权限不合理：攻击者进来就是root权限？

05CSRF：为什么用户的操作他自己不承认？

3.加密失败

06加密失败：使用了加密算法也会被破解吗？

07弱编码：程序之间的沟通语言安全吗？

08数字证书：攻击者可以伪造证书吗？

09密码算法问题：数学知识如何提高代码可靠性？

10弱随机数生成器：攻击者如何预测随机数？

11忘记加“盐”：加密结果强度不够吗？

大咖助场数字证书，困境与未来

4.注入

12注入（上）：SQL注入起手式

13注入（下）：SQL注入技战法及相关安全实践

14自动化注入神器（一）：sqlmap的设计思路解析

15自动化注入神器（二）：sqlmap的设计架构解析

16自动化注入神器（三）：sqlmap的核心实现拆解

17自动化注入神器（四）：sqlmap的核心功能解析

18 _ 命令注入：开发的Web应用为什么成为了攻击者的bash？

19 _ 失效的输入检测（上）：攻击者有哪些绕过方案？

20 _ 失效的输入检测（下）：攻击者有哪些绕过方案？

21XSS（上）：前端攻防的主战场

22XSS（中）：跨站脚本攻击的危害性

23XSS（下）：检测与防御方案解析

24资源注入：攻击方式为什么会升级？

5.春节特别策划

春节策划（一） 视频课内容精选：Web渗透测试工具教学

春节策划（三） _ 一套测试题，看看对课程内容的掌握情况

春节策划（二） 给你推荐4本Web安全图书

6.不安全的设计

25业务逻辑漏洞：好的开始是成功的一半

26包含敏感信息的报错：将安全开发标准应用到项目中

27用户账户安全：账户安全体系设计方案与实践

7.安全配置错误

28安全配置错误：安全问题不只是代码安全

29Session与Cookie：账户体系的安全设计原理

30HTTP Header安全标志：协议级别的安全支持

8.其他安全风险串讲

31易受攻击和过时的组件：DevSecOps与依赖项安全检查

32软件和数据完整性故障：SolarWinds事件的幕后⿊⼿

33SSRF：穿越边界防护的利刃

9.综合实战篇

34Crawler VS Fuzzing：DAST与机器学习

35自动化攻防：低代码驱动的渗透工具积累

36智能攻防：构建个性化攻防平台