1、了解http协议的基础知识
2、掌握http协议在实际工作中的使用
3、掌握注入漏洞相关知识以及相关的漏洞修复方法
4、掌握XSS漏洞的多种形式和防御方法
5、掌握请求伪造漏洞的危害和相应的检测方法
6、掌握文件处理漏洞的分类和代码审计方法
7、掌握访问控制漏洞的分类和漏洞防御方法
8、掌握会话管理漏洞的特性和防护方法
http请求方法
http1.0的请求方法 新增的请求方法
http状态码
http状态码的分类 http状态码的含义
http协议响应头信息
http响应头的类型 http响应头的含义
http协议的url
url定义 url格式
SQL注入
sql注入概念 sql注入漏洞类型 sql注入漏洞安全防护
XML注入
XML注入的概念 XML注入漏洞检测与防护
代码注入
原创文件包含漏洞 本地文件包含漏洞 命令执行漏洞
存储式XSS
存储式XSS的概念 存储式XSS的检测 存储式XSS的安全防护
反射式XSS
反射式XSS的概念 反射式XSS的利用与修复
DOM式XSS
DOM式CSS特征 DOM式XSS的防御
服务端请求伪造漏洞概念 服务端请求漏洞的检测与防御
跨站请求伪造漏洞概念 跨站请求漏洞的危害与防御
任意文件上传
文件上传漏洞的原理与分析 文件上传漏洞的检测与防范
任意文件下载
文件下载漏洞的原理与分析 文件下载漏洞的检测与防范
横向越权漏洞
横向越权漏洞的概念 横向越权漏洞的检测与防范
垂直越权漏洞
垂直越权漏洞的概念 垂直越权漏洞的检测与防范
会话劫持
会话劫持漏洞的概念与原理 会话劫持漏洞的基本防御方法
会话固定
会话固定漏洞的概念与原理 会话固定漏洞的基本防御方法
Burpsuite-用java做的抓包工具,可以在任意操作系统运行
Fiddler-windows下的抓包工具,相对于Burpsuite使用简单
Sqlmap-sql注入工具
DVWA-搜集了各类漏洞的网站环境
虚拟机-装有DVWA等环境的机器