Web代码安全漏洞深度剖析.pptxVIP

Web代码安全漏洞深度剖析读书笔记模板 01思维导图读书笔记作者介绍内容摘要目录分析精彩摘录目录0305020406 思维导图 安全漏洞深度技术从业人员代码领域相关方方面面小结漏洞案例第章防御代码思路原理审计工作文件关键字分析思维导图 内容摘要 内容摘要本书深入浅出，系统性地讲解了代码审计技术的方方面面，从常规的环境搭建到漏洞原理均有介绍，再结合实战案例对主流Web安全漏洞进行剖析，对安全技术爱好者、在校大学生、相关领域从业人员等群体来说，这本书是很好的分享，同时也是做白盒安全测试时不可多得的佳作。 读书笔记 读书笔记从源代码角度剖析漏洞产生的原因及payload构造过程，相对于只介绍漏洞原理的书更加深入，从黑盒角度讲解漏洞挖掘偏少，可以作为安全开发和代码审计的参考书。本书亮点在于从真实案例，从source到sink点的分析，并介绍了如何编写payload，是所有实战人员的点。感觉此书作者单单是从攻防角度去写各种漏洞挖掘的点，在防御或者开发流程中并没有提及。本书亮点在于以代码审计的手段来分析具体case，但不足之处在于代码上的漏洞分析和修复不够深入，例如domxss都有哪些source、sanitize、sink，没有提到，而且如何从语言、框架、组件或者技巧上去写出安全的代码，更没有提及。 目录分析 第1章搭建代码审计环境第3章了解目标第2章辅助工具第一部分准备工作 第1章搭建代码审计环境1.1基于Windows搭建phpStudy1.2基于Linux搭建phpStudy1.3在Linux下利用Docker搭建PHP环境1.4 phpStorm远程连接Docker容器1.5小结 第2章辅助工具2.1代码调试工具phpStorm+Xdebug2.2火狐浏览器56.0的HackBar和FoxyProxy2.3抓包工具Burp Suite2.4小结 第3章了解目标3.1代码审计的思路与流程3.2漏洞分析前的准备工作配置3.4小结 第4章 SQL注入漏洞及防御第5章跨站脚本攻击及防御第6章跨站请求伪造漏洞及防御第7章文件类型漏洞及防御第二部分常规应用漏洞分析 第9章常规应用漏洞的其他类型第8章代码执行漏洞与命令执行漏洞第二部分常规应用漏洞分析 第4章 SQL注入漏洞及防御4.1 SQL注入的原理及审计思路4.2 GET型SQL注入防御脚本绕过案例剖析4.3 Joomla注入案例分析4.4 SQL存储显现insert注入案例分析4.5小结 第5章跨站脚本攻击及防御5.1 XSS简介5.2反射型XSS三次URL编码案例分析5.3存储型XSS案例分析5.4 DOM型XSS案例分析5.5小结 第6章跨站请求伪造漏洞及防御6.1 CSRF原理6.2 GET型CSRF案例分析6.3 POST型CSRF分析6.4小结 第7章文件类型漏洞及防御7.1文件上传漏洞7.2文件上传漏洞案例剖析7.3文件下载漏洞7.4文件下载漏洞实际案例剖析7.5文件删除漏洞7.6文件删除漏洞实际案例剖析7.7文件包含漏洞7.8本地文件包含日志漏洞案例剖析7.9本地前台图片上传包含漏洞案例剖析 第8章代码执行漏洞与命令执行漏洞8.1代码执行漏洞的原理8.2代码执行案例剖析8.3反序列化代码执行案例剖析8.4命令执行漏洞8.5命令执行漏洞案例分析8.6小结 第9章常规应用漏洞的其他类型9.1 XXE漏洞9.2 XXE漏洞案例剖析9.3 URL跳转漏洞9.4 URL跳转漏洞案例剖析9.5 SSRF漏洞9.6 SSRF漏洞案例剖析9.7 PHP变量覆盖漏洞9.8变量覆盖漏洞案例剖析9.9小结 第10章短信验证码漏洞及防御第11章会话验证漏洞及防御第12章密码找回漏洞及防御第13章支付漏洞及防御第14章越权漏洞及防御12345第三部分业务安全漏洞分析 第10章短信验证码漏洞及防御10.1短信验证码业务的安全问题及防御思路10.2短信验证码漏洞案例剖析10.3小结 第11章会话验证漏洞及防御11.1会话验证的过程11.2 Cookie认证会话漏洞案例剖析11.3 Session身份认证漏洞案例剖析11.4小结 第12章密码找回漏洞及防御12.1简介12.2密码找回漏洞案例剖析12.3小结 第13章支付漏洞及防御13.1简介13.2支付漏洞案例剖析13.3小结 第14章越权漏洞及防御14.1简介14.2平行越权案例剖析14.3垂直越权案例剖析14.4小结 作者介绍 同名作者介绍这是《Web代码安全漏洞深度剖析》的读书笔记模板，暂无该书作者的介绍。 精彩摘录 精彩摘录这是《Web代码安全漏洞深度剖析》的读书笔记模板，可以替换为自己的精彩内容摘录。 谢谢观看