WEB 信息安全最佳实践

教练：lion_00

某电商 安全信息部经理

安全爱好者 ，长期关注与互联网安全及业务安全，多次在作为嘉宾在国内会议分享议题 ，包括 台湾HITCON，GITC
SACC等

主题

内容

第一天：
一 信息安全简介

1 黑客定义
2 常见入侵步骤简介
3 信息收集

二 常见安全攻击介绍

1.owasp 2017 TOP 10 总览
2.SQL 注入讲解
2.1 GET 注入
2.2 POST 注入
2.3 COOKIE 注入
2.4 其他类型注入
2.5 各种类型攻击演示
3. 跨站反射攻击（xss）
3.1 反射型跨站攻击
3.2 存储型跨站攻击
3.3 dom 型跨站攻击
4. csrf 攻击
5. 表单篡改攻击
6. 本地/远程命令执行漏洞
7. 各种攻击演示

第二天
一 其他攻击讲解

1 owasp 剩余漏洞讲解
1.1文件上传漏洞及危害
1.2 敏感信息泄露危害
1.3 权限失效危害
1.4 配置错误危害
1.5 不安全反序列化危害
1.6 使用含有已知漏洞组件危害
2 常见安全工具简介
2.1 Webshell 简介
2.2 扫描器简介
2.3 burpsuite
2.4 nmap
2.5 SQLMPA

二 业务安全简介

1.登录安全
1.1密码登录
1.2账号破解
2.业务逻辑
2.1支付漏洞
2.2平行权限/垂直权限
2.3密码找回
2.4其他业务逻辑漏洞简介

三 总结

1 攻击方总结
2 防御方总结