WEB工作原理和常见漏洞分析和防御.pdf
40页
常涛 CTO-技术共享平台 -技术保障 -系统部 -安全技术 -Web安全 2组 Web工作原理和常见漏洞分析和防御 2 讲师简介 CTO-技术共享平台 -技术保障 -系统部 -安全技术 -Web安全 2组 杭州电子科技大学 -信息安全 陕西榆林人 3 系列课程简介 关于安全技能的系列课程 《 Web工作原理和常见漏洞分析和防御 》 《 淘宝网络攻击防御 》 《 加密算法和技术 》 《 SecurityMatrix与反作弊》 《淘宝攻击防御系统 -TMD》 《 Windows软件漏洞挖掘与调试技术》 《深入浅出数据安全》 4 课程目标与目标学员 • 面向学员: WEB系统开发和测试 • 课程目标:通过本课程,学员能够: – 如何利用阿里的 Java解决方案 – burpsuite功能 – 攻击者思路 – HTTP协议 &浏览器工作原理 – 如何自己设计解决方案 – 自学成为极客 5 目录 1. 拿来主义( 15~25分钟) ——JAVA开发 2. 攻击者的思维 ( 20~30分钟) ——通用知识 3. 知其所以然( 30~40分钟) ——通用知识 4. 极客之路 ( 10~20分钟) ——通用知识 6 拿来主义( 15~25分钟) 7 拿来主义 1, work.alibaba-中的搜索“淘宝安全包” 内外分享 应用范围: Java && 浏览器 && ibatis 2, burpsuite的使用, WEB测试的工具套装 软件下载地址: 攻击者的思维 ( 20~30分钟) 破坏者的思维 1.被动攻击 2.主动攻击 3.思路逆转 被动攻击 Kismet-无线嗅探 -被动攻击 主动攻击 UC浏览器 -代理工具 -主动攻击 思路逆转 文字注入 -思路逆转 图片注入 -思路逆转 JS注入 -思路逆转 iframe注入 -思路逆转 http://aita.alibaba- 同源策略 -思路逆转 20 知其所以然( 30~40分钟) 21 HTTP协议 1, HTTP协议概述 a,协议是一系列步骤,它包括两方或多方,设计它的目的是完成一项任务。
a.1,”一系列“:时序性; a.2,”包括两方或多方“完成至少需要两个人 2,协议的其他特点 a,协议中每个人必须了解协议,并且预先知道所要完成的所有步骤; b,协议中的每个人都必须同意并遵守它 c,协议必须是清楚的,每一步必须明确定义,并且不会引起误解 d,协议必须是完整的,对每种可能的情况必须规定具体的动作 22 时序 -HTTP协议 浏览器工作原理 1,作为 HTTP协议的参与者 2,作为 CSS, HTML, JS以及其他资源的管理者 HTTP协议参与者 25 资源管理者 资源管理者 资源管理者 资源管理者 资源管理者 30 休息一下( 5分钟) 极客之路 ( 10~20分钟) 电子学 单片机 汇编语言 操作系统 应用程序 协议 解决问题的思路实现 39 总结 1. 拿来主义( 15~25分钟) ——JAVA开发 2. 知其所以然( 30~40分钟) ——通用知识 3. 攻击者的思维 ( 20~30分钟) ——通用知识 4. 极客之路 ( 10~20分钟) ——通用知识 谢 谢 ! 。
