《Web应用安全与防护》;项目1:Web应用安全基础;项目目标;;1.Web安全起源;1.Web安全起源;1.Web安全起源;;2.1Web系统架构;2.1Web系统架构;2.2OWASPTOP10;;4.Web应用安全;4.Web应用安全—http协议;4.Web应用安全—http协议;4.Web应用安全—http协议;4.Web应用安全—http协议;4.Web应用安全—http协议;4.Web应用安全—服务器安全;4.Web应用安全—Apache安全配置;4.Web应用安全—IIS安全设置;4.Web应用安全—IE安全配置;小结;作业;项目2:Web安全实践环境部署;项目目标;;1.专业术语;1.专业术语;1.专业术语;1.专业术语;;2.Web漏洞环境搭建—Linux搭建web;3.Web漏洞环境搭建—Linux搭建web;;3.Web漏洞环境搭建—win搭建web;web攻击环境;小结;作业;项目3:常用Web应用安全工具;项目目标;1.信息收集概述;1.信息收集概述;1.信息收集概述;1.信息收集概述;1.信息收集概述;1.信息收集概述;1.信息收集概述;2.信息收集之DNS信息收集;2.信息收集之DNS信息收集;3.信息收集之社会工程学;3.信息收集之社会工程学;3.信息收集之社会工程学;4.信息收集之端口扫描;4.信息收集之端口扫描;4.信息收集之端口扫描;4.信息收集之端口扫描;4.信息收集之端口扫描;4.信息收集之端口扫描;5.BurpSuite工具;5.BurpSuite工具;5.BurpSuite工具;5.BurpSuite工具;6.Wireshark?;6.Wireshark;6.Wireshark;6.Wireshark;6.Wireshark;6.Wireshark;6.Wireshark;中国菜刀?;项目4:RCE漏洞利用与防护;项目目标;1.RCE漏洞概要;1.RCE漏洞危害;1.RCE漏洞危害;1.RCE漏洞危害;1.RCE漏洞概要;2.远程系统命令执行漏洞;2.远程系统命令执行漏洞;2.远程系统命令执行漏洞;2.远程系统命令执行漏洞;2.远程系统命令执行漏洞;2.远程系统命令执行漏洞;2.远程系统命令执行漏洞;2.远程系统命令执行漏洞;3.远程代码执行漏洞;3.远程代码执行漏洞;3.远程代码执行漏洞;3.远程代码执行漏洞;3.远程代码执行漏洞;4RCE漏洞加固;小结;作业;;项目5:文件包含漏洞利用与防护;项目目标;;1.文件包含漏洞概述;1.文件包含漏洞概述;1.文件包含漏洞概述;1.文件包含漏洞概述;1.文件包含漏洞概述;1.文件包含漏洞概述;1.文件包含漏洞概述;;2.文件包含漏洞利用与防御;2文件包含漏洞利用与防御;小结;作业;;项目6:文件上传漏洞利用与防护;项目目标;;1.1文???上传
文件上传功能在web应用系统很常见,因为业务功能需要,很多web站点都有文件上传的接口,比如
(1)注册时上传头像图片(jpg,png,gif等)
(2)上传文件附件(doc,xls等)
当用户点击上传按钮后,后台会对上传的文件进行判断比如是否是指定的类型、后缀名、大小等等,然后将其按照设计的格式进行重命名后存储在指定的目录。;1.2文件上传漏洞
在进行文件上传功能的时候,而在后台对上传的文件没有进行安全考虑或者采用了有缺陷的措施,导致攻击者可以通过一些手段绕过安全措施从而上传一些恶意的文件,比如一句话木马,从而通过对该恶意文件的访问来控制整个web后台。
文件上传漏洞可以说是日常渗透测试中用得最多的一个漏洞,用它获得服务器权限最快最直接(高危漏洞)。;1.文件上传漏洞概述;1.文件上传漏洞概述;1.文件上传漏洞概述;;2.文件上传漏洞利用与防御;2.文件上传漏洞利与防御;小结;作业;项目7:文件下载漏洞利用与防护;项目目标;1.任意文件读取漏洞概述;1.任意文件读取漏洞概述;1.任意文件读取漏洞概述;1.任意文件读取漏洞概述;2任意文件读取漏洞利用与加固;2任意文件读取漏洞利用与加固;小结;作业;项目8:SQL注入漏洞利用与防护;项目目标;1.SQL注入漏洞概述;1.SQL注入漏洞概述;1.SQL注入漏洞概述;1.SQL注入漏洞概述;1.SQL注入漏洞概述;1.SQL注入漏洞概述;1.SQL注入漏洞概述;2.数据库基础;2.数据库基础;2.数据库基础;2.数据库基础;3.SQL注入漏洞分类;4.union联合查询;4.union联合查询;4.union联合查询;4.union联合查询;4.union联合查询;5.information_schema数据库;5.information_s