Web安全实战宝典

阿里系测试专家，带领团队从零建立多个大型项目安全测试，针对Web安全测试搭建了基于开源工具的安全测试架构，独立开发基于WebDriver的自动化测试平台，著有《LoadRunner性能测试巧匠训练营》。

系统掌握可落地的 Web 安全核心技能，扩展个人能力图谱

软件测试人员 / web 开发者不可不会的技能

学习 Web 安全核心原理

围绕当下最常见的互联网安全问题
系统性学习相关安全知识体系
吃透相关原理，打好思维基础

补足 Web 安全测试技能

从预防安全问题的角度出发
围绕“权限管理、用户输入”两大方向
学会安全测试的流程、常用工具和测
试手段

提升 Web 安全漏洞修复能力

面对已发生问题不露怯
学会有效修复安全漏洞
争做靠谱的救火兜底队员

拆解两大安全防护场景的 6 个重点模块，搭建核心技能体系！

覆盖大部分日常 Web 安全场景，从原理、测试到补救修复一应俱全，高度适配工作所需

基础安全
机制

验证机制

包括注册、登录、忘记密码等与用户身份验证的功能，是Web安全防御阵线的最前沿。

会话管理

会话虽不可见，但在网站访问中对于身份管理起到重要作用，可能存在严重的安全风险。

权限控制

处理用户访问的最后一步，要正确判定允许还是拒绝某个独立的请求。

用户输入
控制

注入

以SQL注入为首的一类借由用户输入突破进入系统或数据库的攻击方式，是最常见、成功率最高
的网络攻击。

跨站

利用网站程序对用户输入过滤不足从而盗取用户资料、伪装用户登录操作的一种攻击方式。

文件处理

文件上传或者下载后，如果服务器的处理逻辑做的不够安全，则会导致严重的后果。

再现一线大厂真实攻防案例，带你实战漏洞修复细节
遭遇实际安全难题时也能快速自主解决

通用技术&环境

安全工具：

burpsuite
fiddler
sqlmap

靶机搭建：

Webgoat
DVWA
bwapp

1. 抓包、前端绕过操作（靶机实战）
2. 绕过金额支付（靶机实战）
3. 水平越权与垂直越权（互联网案例+靶机实战）
4. XSS攻击与防范（互联网案例+靶机实战）

1. SQL注入攻击（互联网案例+靶机实战）
2. SQL盲注攻击手段（靶机实战）
3. SQLMAP注入手段（靶机实战）
4. XML注入漏洞（靶机实战）
5. 文件包含注入漏洞（靶机实战）
6. 命令执行漏洞（靶机实战）

1. 弱密码、暴力破解攻击与防御（互联网案例+靶机实战）
2. 忘记密码的攻击措施和防御手段（互联网案例+靶机实战）
3. 多阶段登录存在的安全风险及攻防（靶机实战）

1. 会话令牌生成安全风险（靶机实战）
2. 会话固定攻击和会话终止攻击（靶机实战）
3. 跨站请求伪造-CSRF的危害与防御（互联网案例+靶机实战）
4. 服务端请求伪造的探测与修复（靶机实战）
5. 互联网真实攻击手段-社会工程学攻击（互联网案例）

课程福利：
简历指导优化，让安全能力成为你的差异化竞争优势

风落几番蚂蚁金服测试专家；慕课高级讲师

清华大学客座教授，南开大学研究生校外导师

理论知识与实践经验并重的安全领域专家级人才，十余年授课经验，擅长将复杂的知
识简洁化、形象化，讲课方式诙谐幽默，深受学员好评。

学完全部课程的同学，可获得一次讲师提供的简历优化服务
将安全能力融入你的简历之中，提升简历质量，增加面试机会

1.本课程仅为用户学习而创建，所有的攻防操作均在靶机中发起，不提供也不提倡技术非法使用。
2.课程中所涉及的 Hack 相关讲解目的在于教大家学提高安全意识，并展示如何在这些 Hack 攻击下保护系统。

第1章趣解Web安全测试（Web安全测试概述）

Web安全测试概述：介绍什么是Web安全，Web安全有哪些常见的漏洞，如何理解这些漏洞以及在实际的IT工作中，安全测试的流程是怎样的。

第2章安全测试项目与工具（Web安全测试必备技能）

Web安全测试必备技能：让我们一起了解什么是网站，什么是HTTP协议，它是如何工作的，接下来在进入Web安全测试之前，我们首先学习如何搭建一套安全测试靶机，并安装需要使用的安全软件，以便在自己的机器上实践安全测试。

第3章绕过客户端攻击（绕过客户端安全处理）

绕过客户端安全处理：结合工具，实战讲解如何进行抓包、前端绕过操作，以及如何进行防御。

第4章验证机制漏洞（操作验证机制漏洞）

操作验证机制漏洞：从互联网验证机制原理入手，结合互联网真实案例及靶机实战学习包括弱密码、暴力破解、忘记密码等常见的攻击手段及防御措施。

第5章会话管理漏洞（Web安全测试之会话管理）

会话管理安全：戏说网站会话管理机制，通过会话令牌生成和传输两方面全面认识会话管理过程中的安全风险和防御措手段。

查看完整目录

每个慕课网课程，都是一个专业的技术社区

个性化增值服务，学习有保障更高效

答疑专区+技术社区

连百度谷歌都搜不到的问题，在这里讲
师都将耐心详细解答，更有小伙伴一起
交流互动，共同进步。

独家“动态”教辅材料

丰富的专属教辅资料上传更新，通过课
程教案、原理图解、技术文档、演示案
例等各种教材，保障你的学习效果。

课程全套代码下载

提供课程全套源代码下载，包含：
全套组件封装镜像、私有仓库、各个服
务的镜像、项目源代码。

实用图文资料

部分简单内容以图文形式呈现，与视频相
配合，既保障学习效果，又提高了学习效
率。

向您推荐

Web 安全实战宝典系统学习网络安全核心技能

￥348.00

初级难度 / 247 人在学

扫码学习

如无法下载使用图片另存为

下载海报

Web 安全实战宝典系统学习网络安全核心技能

前沿的Web安全实践干货，提升你的安全保障能力

Web 安全实战宝典系统学习网络安全核心技能

讲师其他课程

课程预览

系统掌握可落地的 Web 安全核心技能，扩展个人能力图谱

软件测试人员 / web 开发者不可不会的技能

拆解两大安全防护场景的 6 个重点模块，搭建核心技能体系！

覆盖大部分日常 Web 安全场景，从原理、测试到补救修复一应俱全，高度适配工作所需

再现一线大厂真实攻防案例，带你实战漏洞修复细节
遭遇实际安全难题时也能快速自主解决

课程福利：
简历指导优化，让安全能力成为你的差异化竞争优势

每个慕课网课程，都是一个专业的技术社区

个性化增值服务，学习有保障更高效

热搜

最近搜索清空

Web 安全实战宝典 系统学习网络安全核心技能

前沿的Web安全实践干货，提升你的安全保障能力

Web 安全实战宝典 系统学习网络安全核心技能

讲师其他课程

课程预览

系统掌握可落地的 Web 安全核心技能，扩展个人能力图谱

软件测试人员 / web 开发者不可不会的技能

拆解两大安全防护场景的 6 个重点模块，搭建核心技能体系！

覆盖大部分日常 Web 安全场景，从原理、测试到补救修复一应俱全，高度适配工作所需

再现一线大厂真实攻防案例，带你实战漏洞修复细节遭遇实际安全难题时也能快速自主解决

课程福利：简历指导优化，让安全能力成为你的差异化竞争优势

每个慕课网课程，都是一个专业的技术社区

个性化增值服务，学习有保障更高效

相关推荐

邀请好友学习

微信邀请

链接邀请

海报邀请

￥348.00

学习咨询

Web 安全实战宝典系统学习网络安全核心技能

Web 安全实战宝典系统学习网络安全核心技能

再现一线大厂真实攻防案例，带你实战漏洞修复细节
遭遇实际安全难题时也能快速自主解决

课程福利：
简历指导优化，让安全能力成为你的差异化竞争优势