Web安全攻防學(xué)習(xí)路線圖

基礎(chǔ)篇

適用/適合人群：適合零基礎(chǔ)

目標(biāo)：1.面向基礎(chǔ)、入門，為后續(xù)課程鋪墊關(guān)鍵知識(shí)     2.以知識(shí)性、趣味性為主，激發(fā)學(xué)習(xí)興趣、樹(shù)立學(xué)習(xí)目標(biāo)、養(yǎng)成學(xué)習(xí)方法     3.具備管理和維護(hù)小型辦公網(wǎng)絡(luò)安全， 并可以制作和維護(hù)簡(jiǎn)單網(wǎng)頁(yè)的能力

●技術(shù)點(diǎn)小節(jié)：

1.VMware Workstation    2.Windows 2008 Server    3.用戶安全管理    4.NTFS權(quán)限管理    5.文件服務(wù)器    6.磁盤管理    7.備份與災(zāi)備

●Windows網(wǎng)絡(luò)服務(wù)

1.配置DNS服務(wù)    2.配置DHCP服務(wù)    3.搭建WEB站點(diǎn)    4.搭建FTP服務(wù)    5.VPN遠(yuǎn)程訪問(wèn)技術(shù)    6.Email郵件技術(shù)

●域與活動(dòng)目錄

1.活動(dòng)目錄    2.域控管理    3.組策略應(yīng)用    4.安全策略應(yīng)用    5.PKI與證書服務(wù)

●網(wǎng)絡(luò)基礎(chǔ)與協(xié)議

1.網(wǎng)絡(luò)概述    2.OSI協(xié)議簇    3.模擬器與交換機(jī)配置    4.IP地址協(xié)議與應(yīng)用    5.網(wǎng)絡(luò)層協(xié)議與應(yīng)用    6.靜態(tài)路由    7.Arp攻擊與欺騙    8.虛擬局域網(wǎng)Vlan    9.單臂路由與VTP

●高級(jí)網(wǎng)絡(luò)技術(shù)

1.回顧與GNS3    2.三層交換    3.生成樹(shù)STP    4.熱備份協(xié)議HSRP    5.子網(wǎng)劃分    6.訪問(wèn)控制列表ACL    7.網(wǎng)絡(luò)地址轉(zhuǎn)換NAT    8.動(dòng)態(tài)路由協(xié)議RIP    9.動(dòng)態(tài)路由協(xié)議OSPF

●HTML

1.創(chuàng)建網(wǎng)頁(yè)    2.基本的語(yǔ)法規(guī)范    3.Html標(biāo)簽    4.Html表格    5.網(wǎng)頁(yè)之間的鏈接與跳轉(zhuǎn)    6.表單與內(nèi)嵌框架

進(jìn)階篇

適用/適合人群：具有網(wǎng)絡(luò)和系統(tǒng)知識(shí)。

目標(biāo)：能夠獨(dú)立部署并管理LINUX系統(tǒng)服務(wù)；能夠?qū)崿F(xiàn)企業(yè)級(jí)服務(wù)應(yīng)急響應(yīng)處理能力；能夠完成自動(dòng)化管理和安全加固。

●技術(shù)點(diǎn)小節(jié)

1.目錄結(jié)構(gòu)分析與基礎(chǔ)命令操作    2.編輯器的使用與軟件安裝分析軟件安全性    3.用戶安全管理權(quán)限管理    4.磁盤管理，磁盤陣列    5.備份與災(zāi)備

●Linux網(wǎng)絡(luò)服務(wù)

1.配置DNS服務(wù)    2.搭建WEB站點(diǎn)    3.搭建文件服務(wù)    4.VPN遠(yuǎn)程訪問(wèn)技術(shù)    5.Postfix郵件技術(shù)    6.Squid代理服務(wù)    7.集群服務(wù)

●MySQL數(shù)據(jù)庫(kù)

1.數(shù)據(jù)庫(kù)基本概念    2.數(shù)據(jù)庫(kù)的安裝與使用    3.常見(jiàn)運(yùn)算符和函數(shù)    4.數(shù)據(jù)庫(kù)綜合管理    5.數(shù)據(jù)庫(kù)遠(yuǎn)程連接    6.phpmyadmin

●Linux系統(tǒng)中的防火墻技術(shù)

1.Xinetd技術(shù)輕量級(jí)服務(wù)管理限制    2.Hosts主機(jī)防火墻規(guī)則設(shè)置    3.Iptables防火墻規(guī)則設(shè)定

●SHELL自動(dòng)化腳本

1.腳本編寫規(guī)則    2.正則表達(dá)式在腳本中的運(yùn)用    3.遠(yuǎn)程交互式腳本編寫

●PYTHON

1.基本語(yǔ)法    2.變量定義    3.數(shù)據(jù)類型和判斷語(yǔ)句    4.循環(huán)語(yǔ)句    5.文件對(duì)象    6.函數(shù)    7.模塊調(diào)用    8.實(shí)用型腳本編寫

高級(jí)篇

適用/適合人群：熟練掌握Linux Shell腳本與HTML標(biāo)簽
目標(biāo)：從開(kāi)發(fā)的角度制作留言板等項(xiàng)目，再運(yùn)用安全的眼光識(shí)別漏洞，為后續(xù)滲透打基礎(chǔ)

●技術(shù)點(diǎn)小節(jié)：

1.PHP基礎(chǔ)    2.變量基礎(chǔ)    3.數(shù)據(jù)類型與轉(zhuǎn)換    4.運(yùn)算符與流程控制    5.數(shù)組    6.變量常量

●正則表達(dá)式

1.正則表達(dá)式的語(yǔ)法規(guī)則    2.定界符    3.普通字符    4.元字符    5.模式修正符

●文件與目錄的操作

1.判斷普通文件和目錄    2.文件的屬性    3.目錄的基本操作    4.文件的基本操作    5.文件的上傳下載

WEB攻防篇

適用/適合人群：有HTTP協(xié)議和常見(jiàn)網(wǎng)絡(luò)服務(wù)基礎(chǔ)，有一定HTML標(biāo)簽、JS以及PHP代碼認(rèn)知基礎(chǔ)的同學(xué)。
目標(biāo)：能夠獨(dú)立完成滲透測(cè)試項(xiàng)目；能夠獨(dú)立完成安全加固。

●技術(shù)點(diǎn)小節(jié)：

1.SQL注入    2.XSS攻擊    3.CSRF漏洞    4.文件上傳繞過(guò)    5.文件包含漏洞    6.任意代碼執(zhí)行    7.業(yè)務(wù)邏輯漏洞    8.服務(wù)器提權(quán)

●工具使用

1.AWVS/APPSCAN 漏洞掃描器    2.BurpSuite    3.Sqlmap

●WEB攻防實(shí)戰(zhàn)

1.SRC漏洞挖掘    2.針對(duì)WEB站點(diǎn)滲透測(cè)試    3.企業(yè)級(jí)滲透測(cè)試    4.眾測(cè)項(xiàng)目