1.web应用程序安全与风险:发展历程
2.核心防御机制:处理用户访问、处理用户输入、处理攻击者、管理应用程序
3.WEB应用程序技术:HTTP、web功能、编码方案
4.解析应用程序:枚举内容与功能、分析应用程序
5.避开客户端控件:通过客户端传送数据、收集用户数据、安全处理客户端数据
6.攻击验证机制:验证技术、验证机制设计与缺陷、验证机制执行缺陷、保障验证机制的安全
7.攻击会话管理:状态要求、会话令牌处理薄弱环节、保证会话安全
8.攻击访问控制:常见漏洞、攻击访问控制、保证访问控制安全性
9.代码注入:注入解释性语言、注入SQL、注入操作系统命令、注入WEB脚本语言、注入SOAP、注入xpath、注入SMTP、注入LADP
10.利用路径遍历:常见漏洞、查找并利用路径遍历漏洞、防止路径遍历漏洞
11.攻击应用程序逻辑:漏洞缺陷本质、现实中逻辑缺陷、避免逻辑缺陷
12.攻击其他用户:跨站点脚本、重定向攻击、http消息投注入、框架注入、请求伪造、JSON劫持、会话固定、攻击ActiveX控件、本地隐私攻击、高级利用技巧
13.定制攻击自动化:应用定制自动化攻击、枚举有效标识符、常见有用的数据、获取有用的数据、常见漏洞模糊测试、整合全部功能:burp intruder
14.利用信息泄漏:利用错误信息、收集公布信息、使用推论、防止信息泄漏
15.攻击编译型应用程序:缓冲区溢出漏洞、整数漏洞、格式化字符串漏洞
16.攻击应用程序架构:分层架构、共享主机与应用程序服务提供商
17.攻击WEB服务器:web服务配置缺陷、web服务器软件漏洞
18.查找源代码的漏洞:代码审查方法、常见漏洞签名、java平台、ASP.NET、php、perl、javaScript、数据库代码组件、代码浏览工具
19.WEB应用程序黑客工具包:web浏览器、集成测试套件、漏洞扫描器、其他工具
20.WEB应用程序渗透测试方法论
感谢博主,喝杯咖啡~
感谢博主,喝杯咖啡~
还没有人发表评论