web安全笔记

一、Web安全系列之基础
1、Web安全基础概念（1天）
互联网本来是安全的，自从有了研究安全的人之后，互联网就变的不安全了。
 
 
2、web面临的主要安全问题（2天）
 
客户端：移动APP漏洞、浏览器劫持、篡改
服务器：DDos攻击、CC攻击、黑客入侵、业务欺诈、恶意内容
3、常用渗透手段（3天）
信息搜集：域名、IP、服务器信息、CDN、子域名、GOOGLE HACKING
扫描器扫描：Nmap、AWVS、Burp Suite、在线扫描器
权限提升
权限维持
二、Web安全系列之漏洞
1、漏洞产生原因（1天）
漏洞就是软件设计时存在的缺陷，安全漏洞就是软件缺陷具有安全攻击应用方面的价值。软件系统越复杂，存在漏洞的可能性越大。
2、漏洞出现哪些地方？（2天）
前端静态页面
脚本
数据
服务：主机、网络
系统逻辑
移动APP
3、常见漏洞（3天）
SQL注入：布尔型注入、报错型注入、可联合查询注入、基于时间延迟注入。
XSS（跨站脚本攻击）：反射型XSS、存储型XSS、DOM XSS
CSRF（跨站请求伪造）
SSRF（服务器端请求伪造）
文件上传下载：富文本编辑器
弱口令： X-Scan、Brutus、Hydra、溯雪等工具

                            
其它漏洞：
4、逻辑漏洞（3天）
平行越权
垂直越权
任意密码重置
支付漏洞：0元购
接口权限配置不当：
验证码功能缺陷：
5、框架漏洞（2天）
struts2漏洞、Spring远程代码执行漏洞、Java反序列化漏洞
6、建站程序漏洞（1天）
Discuz漏洞、CMS漏洞等
三、Web安全系列之防御
1、常见防御方案（1天）
2、安全开发（2天）
开发自检、测试自检、部署自检
开发工具：安全框架Spring security、 shiro、Spring boot  

3、安全工具和设备（2天）
DDos防护、WAF、主机入侵防护等等
4、网站安全工具（1天）
阿里云、云狗、云盾
网站在线检测：http://webscan.360.cn/ 
https://guanjia.qq.com/online_server/webindex.html

http://www.51testing.com/zhuanti/selenium.html Selenium是一个用于Web应用程序测试的工具