Web安全工程师

课程概况

网易信息安全部为网易公司提供安全护航，保障了包括网易游戏、网易邮箱、考拉海购、网易云音乐等一线产品的安全。部门7位老师强强联合，针对行业需求匠心打造Web安全工程师微专业课程，致力于为所有Web安全爱好者提供优质、系统的学习方案。

课程安排

01 Web基础知识

本课是基础中的基础，通俗易懂的讲解了Web的本质和Web开发的基础知识。对于Web小白，建议从头开始抓紧学习；对于已经有一定Web基础知识的同学，建议快速的过一遍，夯实基础。

第一章 Web简介

1.1 Web介绍

1.2 Web通信

第二章 Web开发基础知识

2.1 前端开发基础——HTML

2.2 前端开发基础——JavaScript

2.3 Web服务端环境

2.4 后端开发基础——SQL

2.5 后端开发基础——PHP

02 Web安全基础

万丈高楼平地起，楼能盖多高，主要看地基打的好不好。学习任何知识都是一样的，打好基础是关键，通过本课的学习，你将了解一些常见的Web漏洞，以及这些漏洞的原理和危害，打好地基，为后面建设高楼大厦做好准备。

第一章 无处不在的安全问题 

1.1 常见的安全事件

第二章 常见Web漏洞解析

2.1 XSS

2.2 CSRF

2.3 点击劫持

2.4 URL跳转

2.5 SQL注入

2.6 命令注入

2.7 文件操作漏洞

03 Web安全工具

在Web安全测试中，借助合适的工具，能够帮助我们提高测试效率、扩展测试思路。本课会给大家介绍浏览器及扩展、代理抓包、敏感文件探测、漏洞扫描、注入探测、目标信息搜集的常用工具用法及测试思路。

第一章 浏览器和浏览器扩展初级

1.1 安全测试之浏览器入门

1.2 安全测试之浏览器扩展入门

第二章 代理抓包分析工具

2.1 代理工具介绍

2.2 代理工具实战基础

第三章 Web漏洞扫描工具初级

3.1 敏感文件探测入门

3.2 漏洞扫描工具入门

3.3 SQL注入漏洞测试入门

第四章 在线工具

4.1 在线工具详解

04 Web安全实战

纸上得来终觉浅，绝知此事要躬行。通过本课的学习和实战演练，让同学们深入理解并掌握常见Web安全漏洞的挖掘、利用技能，以及知晓修复方法。

1. DVWA部署 

2. 暴力破解

3. 命令注入

4. CSRF

5. 文件包含

6. 文件上传

7. SQL回显注入

8. SQL盲注

9. XSS

05 Web安全体系建设

通过前面的课程我们掌握了各种攻击技巧，本课将教会大家如何在企业进行安全建设，达到知攻知防的境界，这也是各个公司最终需要的安全人才。

1. SDL介绍

2. 漏洞和事件处理

3. 安全运营概述

06 Web攻防实验

本课程是web攻防实验练习，通过典型web程序漏洞实战、web全渗透实战及CTF Web实战，掌握解决问题的方法。

第一章 典型Web程序漏洞实战

1.1 sql注入原理讲解

1.2 zzcms8.2 SQL注入漏洞分析及利用

1.3 口令破解及登录逻辑

1.4 中间件漏洞-Tomcat PUT写文件漏洞利用

第二章 Web全渗透实战

2.1 信息收集

2.2 Web渗透测试扫描和爆破

2.3 漏洞扫描识别及利用

2.4 权限提升

第三章 CTF Web实战

3.1 CTF密码破解

3.2 CTF SQL注入

3.3 CTF文件上传