1.web应用程序安全与风险:发展历程

2.核心防御机制：处理用户访问、处理用户输入、处理攻击者、管理应用程序

3.WEB应用程序技术：HTTP、web功能、编码方案

4.解析应用程序：枚举内容与功能、分析应用程序

5.避开客户端控件：通过客户端传送数据、收集用户数据、安全处理客户端数据

6.攻击验证机制：验证技术、验证机制设计与缺陷、验证机制执行缺陷、保障验证机制的安全

7.攻击会话管理：状态要求、会话令牌处理薄弱环节、保证会话安全

8.攻击访问控制：常见漏洞、攻击访问控制、保证访问控制安全性

9.代码注入：注入解释性语言、注入SQL、注入操作系统命令、注入WEB脚本语言、注入SOAP、注入xpath、注入SMTP、注入LADP

10.利用路径遍历：常见漏洞、查找并利用路径遍历漏洞、防止路径遍历漏洞

11.攻击应用程序逻辑：漏洞缺陷本质、现实中逻辑缺陷、避免逻辑缺陷

12.攻击其他用户：跨站点脚本、重定向攻击、http消息投注入、框架注入、请求伪造、JSON劫持、会话固定、攻击ActiveX控件、本地隐私攻击、高级利用技巧

13.定制攻击自动化：应用定制自动化攻击、枚举有效标识符、常见有用的数据、获取有用的数据、常见漏洞模糊测试、整合全部功能：burp intruder

14.利用信息泄漏:利用错误信息、收集公布信息、使用推论、防止信息泄漏

15.攻击编译型应用程序：缓冲区溢出漏洞、整数漏洞、格式化字符串漏洞

16.攻击应用程序架构：分层架构、共享主机与应用程序服务提供商

17.攻击WEB服务器：web服务配置缺陷、web服务器软件漏洞

18.查找源代码的漏洞：代码审查方法、常见漏洞签名、java平台、ASP.NET、php、perl、javaScript、数据库代码组件、代码浏览工具

19.WEB应用程序黑客工具包：web浏览器、集成测试套件、漏洞扫描器、其他工具

20.WEB应用程序渗透测试方法论