web安全学习路线

声明：不得利用所学知识进行非法攻击

学习大纲

理论基础

SQL注入

前端攻击

文件上传

文件包含

安全加固

实战演练环节

演示环境采用linux  Apache  php  mySQL

学前知识点

1、了解web应用的概念、web应用系统的工作原理

2、数据库相关知识在SQL注入课程中会用到

3、web相关知识html、JavaScript、web脚本等知识在前端攻击和文件上传中会用到

4、操作系统知识比较杂，比如应用程序对文件名的解析、web中间件、数据库运行权限、目录权限等知识在文件上传以及安全加固课程中用到

重点知识点

SQL注入、前端攻击、文件上传、文件包含，我们将从代码级别进行漏洞原理的解析，从实战角度进行漏洞威胁的演示，从漏洞的处理讲解如何防御，防御手段可以是修改代码，直接修改代码进行加固可以从本质上解决问题，当然也可以采用第三方的安全设备，比如web应用防火墙，采用web应用防火墙的目的是：比如现在我们发现了一个漏洞，但是因为我们的开发人员没有足够的时间去修改，但是这个时间段可能会有黑客攻击，那我们就可以采用第三方的安全设备，先对攻击进行一定的封堵，然后我们的开发人员再从代码去做实质性的修改，以达到我们的系统安全，在最后一节我们将进行一个实例，来讲解web应用加固。实例环境还是linux  Apache  php  mySQL 这部分内容主要是对web应用系统的运行环境进行加固。如web服务器操作系统的目录权限控制，web中间件的运行权限控制，配置文件参数选项，比如：Mysql的文件，Apache的配置文件，以及操作系统的敏感配置文件，从这几个方面进行加固，最终我们可以自己打造出一款非常安全的linux  Apache  php  mySQL环境，同时我们还对我们的操作系统进行了加固，以保证我们的web应用系统的安全。