Web安全攻防學習路線圖

基礎篇

適用/適合人群：適合零基礎

目標：1.面向基礎、入門，為后續課程鋪墊關鍵知識     2.以知識性、趣味性為主，激發學習興趣、樹立學習目標、養成學習方法     3.具備管理和維護小型辦公網絡安全， 并可以制作和維護簡單網頁的能力

●技術點小節：

1.VMware Workstation    2.Windows 2008 Server    3.用戶安全管理    4.NTFS權限管理    5.文件服務器    6.磁盤管理    7.備份與災備

●Windows網絡服務

1.配置DNS服務    2.配置DHCP服務    3.搭建WEB站點    4.搭建FTP服務    5.VPN遠程訪問技術    6.Email郵件技術

●域與活動目錄

1.活動目錄    2.域控管理    3.組策略應用    4.安全策略應用    5.PKI與證書服務

●網絡基礎與協議

1.網絡概述    2.OSI協議簇    3.模擬器與交換機配置    4.IP地址協議與應用    5.網絡層協議與應用    6.靜態路由    7.Arp攻擊與欺騙    8.虛擬局域網Vlan    9.單臂路由與VTP

●高級網絡技術

1.回顧與GNS3    2.三層交換    3.生成樹STP    4.熱備份協議HSRP    5.子網劃分    6.訪問控制列表ACL    7.網絡地址轉換NAT    8.動態路由協議RIP    9.動態路由協議OSPF

●HTML

1.創建網頁    2.基本的語法規范    3.Html標簽    4.Html表格    5.網頁之間的鏈接與跳轉    6.表單與內嵌框架

進階篇

適用/適合人群：具有網絡和系統知識。

目標：能夠獨立部署并管理LINUX系統服務；能夠實現企業級服務應急響應處理能力；能夠完成自動化管理和安全加固。

●技術點小節

1.目錄結構分析與基礎命令操作    2.編輯器的使用與軟件安裝分析軟件安全性    3.用戶安全管理權限管理    4.磁盤管理，磁盤陣列    5.備份與災備

●Linux網絡服務

1.配置DNS服務    2.搭建WEB站點    3.搭建文件服務    4.VPN遠程訪問技術    5.Postfix郵件技術    6.Squid代理服務    7.集群服務

●MySQL數據庫

1.數據庫基本概念    2.數據庫的安裝與使用    3.常見運算符和函數    4.數據庫綜合管理    5.數據庫遠程連接    6.phpmyadmin

●Linux系統中的防火墻技術

1.Xinetd技術輕量級服務管理限制    2.Hosts主機防火墻規則設置    3.Iptables防火墻規則設定

●SHELL自動化腳本

1.腳本編寫規則    2.正則表達式在腳本中的運用    3.遠程交互式腳本編寫

●PYTHON

1.基本語法    2.變量定義    3.數據類型和判斷語句    4.循環語句    5.文件對象    6.函數    7.模塊調用    8.實用型腳本編寫

高級篇

適用/適合人群：熟練掌握Linux Shell腳本與HTML標簽
目標：從開發的角度制作留言板等項目，再運用安全的眼光識別漏洞，為后續滲透打基礎

●技術點小節：

1.PHP基礎    2.變量基礎    3.數據類型與轉換    4.運算符與流程控制    5.數組    6.變量常量

●正則表達式

1.正則表達式的語法規則    2.定界符    3.普通字符    4.元字符    5.模式修正符

●文件與目錄的操作

1.判斷普通文件和目錄    2.文件的屬性    3.目錄的基本操作    4.文件的基本操作    5.文件的上傳下載

WEB攻防篇

適用/適合人群：有HTTP協議和常見網絡服務基礎，有一定HTML標簽、JS以及PHP代碼認知基礎的同學。
目標：能夠獨立完成滲透測試項目；能夠獨立完成安全加固。

●技術點小節：

1.SQL注入    2.XSS攻擊    3.CSRF漏洞    4.文件上傳繞過    5.文件包含漏洞    6.任意代碼執行    7.業務邏輯漏洞    8.服務器提權

●工具使用

1.AWVS/APPSCAN 漏洞掃描器    2.BurpSuite    3.Sqlmap

●WEB攻防實戰

1.SRC漏洞挖掘    2.針對WEB站點滲透測試    3.企業級滲透測試    4.眾測項目