您现在的位置是:课程
100天晋升WEB白帽子黑客➁项目实战和进阶
2023-11-06 21:33课程 人已围观
报班咨询
注意:成功报名《100天晋升Web白帽子黑客》在线就业班的同学,请务必先联系班主任(微信号:tangtangbzr)加入班级群!
一、服务说明
拼客学院 [在线班] 都包含以下服务:
- 课堂视频:在线视频可以永久观看,方便巩固复习。
- 专属班群:[导师+助教+班主任+就业老师] 驻群,24小时内快速答疑。
- 配套资料:每一章节配套的课堂笔记、实验工具、书籍文档等都可以下载使用。
- 作业考试:每一个阶段都配套了作业和考试,必须考核通过,才能进入下一阶段。
- 求职辅导:就业老师全程辅导学员们的就业,包括简历批改、岗位内推、求职题库等。
二、班级介绍
陈鑫杰老师的《100天晋升Web白帽子黑客系列课》(Web安全工程师职业方向),包括《Web安全导论》、《Web建站指南》、《HTTP协议原理与实践》、《HTML原理与实践》、《CSS原理与实践》、《JavaScript原理与实践》、《Python编程原理与实践》、《Django Web项目入门》、 《Django Web项目实战》、《Kali Linux / Metasploit渗透测试从入门到精通》、《Web安全渗透课》等近20门课程,是国内第一套基于思维导图方式授课的全栈Web安全课。
大部分新人在学习Web安全技术的时候,往往止步于“工具使用”,而忽略了底层原理,更没有代码编程能力,使得后续职场发展受到很大阻碍,而本系列课程涵盖Web入门、Web前端开发、Web后端开发、Web安全渗透等,使得学员能够真正掌握Web前后端原理,能独立开发一个Web网站,并在代码级别上理解Web安全漏洞,真正意义上做到 [从原理到实战]。
课程中的每一张技术图解、每一行代码、每一个项目案例,都由院长亲自操刀、精心设计并耐心讲解,抛弃传统PPT翻书式授课,用更体系更科学的姿势带你学好这门课程。本系列课程已经成为很多一线Web安全工程师的首选课程,也成为众多500强名企的采购课程,学完本系列课程的学员,大部分就职于国内一线的互联网名企、网络安全企业、国企政企、系统集成商/服务商等单位。
导师介绍
- 陈鑫杰 拼客科技CEO / 拼客学院院长
- 多年一线互联网 / 金融 / 政府信息安全技术支撑
- 擅长网络安全 / Web安全 / 渗透测试 / 数字取证
- 51CTO金牌讲师 / 300万+学员 / 安全类Top1
- 腾讯安全合作伙伴 / 共同打击灰黑产非法犯罪
- 网警技术顾问 / 多次协助抓获大型诈骗团伙
- 知乎专栏作家 / 跟杰哥学网络与安全
班级目标
- 零基础成为Web站长,拥有自己的博客/论坛/网站。
- 掌握Web服务器与浏览器的HTTP通信原理与抓包解包。
- 掌握Web前端开发,学习HTML/CSS/JS编程,能独立制作Web前端页面。
- 掌握Web后端开发,学习Python编程与Django框架,掌握MySQL数据库操作。
- 从零开始独立开发一个Web网站,并根据LNMP架构在CentOS系统上部署Web服务。
- 熟练Kail Linux渗透测试原理与实践,包括信息搜集、漏洞扫描、漏洞利用、后门维持等。
- 熟练安全攻防实验室搭建与靶机使用,包括OWASP BWA、DVWA、Mutillidae II、PentesterLab等。
- 熟练OWASP TOP10等Web漏洞原理与利用,包括SQL注入、文件上传、文件包含、Webshell木马编写、命令执行、XSS跨站脚本攻击、CSRF跨站伪造请求等。
- 熟练编程开发与渗透测试等超40多种工具使用,包括但不限于BurpSuite、SQLmap、Wireshark、Metasploit、Nmap、Nessus、OpenVas、AppScan、AWVS、ZAP、Havij、Postman、Pangolin、Cknife、Weevely、Jexboss、Tamper、Xampp、edjpgcom、Google Devtools、PyCharm、WebStorm、Navicat、SET、Meterpreter、Shodan、Dirbuster、BeEF、WPscan、Joomscan、httpprint、Whatweb、Layer子域名、御剑后台、中国菜刀等。
- 熟悉CTF靶机渗透测试实战,通过CTF4、CTF6、CTF7等攻防实践,真正掌握黑盒测试、攻击链、红队等一系列方法。
- 熟悉Windows与Linux常见漏洞复现实践,包括CVE-2017-7494-SambyCry远程代码执行、CVE-2017-16995-Ubuntu16.04本地提权、MS17-010-永恒之蓝-Windows提权等。
班级对象
- Web安全、白帽子黑客、渗透测试、安全攻防、安全服务、网络安全、信息安全、安全运维
班级特色
- 网络安全专家导师授课
- 采用思维导图方式授课
- 课件超详细 | 知识点丰富 | 实战驱动
三、课程安排
四、课程预览(项目实战)
Web前端开发
Web后端开发
Web渗透测试
Part 1:Web安全导论入门
关键词:行业发展、安全工程师岗位解读、薪酬解读、推荐书籍、安全媒体、安全企业
Part 3:Web信息搜集
关键词:搜索引擎(Google/Shadan/Zoomeye hacking)、目标扫描(Nmap、OpenVAS)、指纹识别(whatweb、Appprint、御剑指纹识别)、域名/目录/后台暴破(DirBuster、御剑、Layer)
Part 4:Web漏洞扫描
关键词:Burp Suite、AWVS、Appscan、ZAP、WPscan、Joomscan
Part 5:SQL注入漏洞与渗透
关键词:SQL注入原理(错误、布尔、Union、盲注)、手工注入与自动化注入(SQLmap、Havij、Pangolin)、SQL注入防御思路
Part 6:文件上传与Webshell渗透
关键词:不同安全级别的文件格式、大小限制、拦截上传绕过、Webshell原理、一句话木马原理、大马小马区别、图片木马、中国菜刀、Cknife、Weevely、edjpgcom、文件上传和Webshell挂马防御思路。
Part 7:文件包含漏洞与利用
关键词:常见包含函数解读、本地文件和远程文件包含原理和差别、文件包含结合图片木马实现Webshell、不同文件包含限制绕过、文件包含防御机制。
Part 8:命令执行漏洞与渗透
关键词:命令执行原理、不同命令执行漏洞绕过与分析、通过Jexboss框架实现Struts2漏洞发现与利用案例分析、命令注入防御思路
Part 9:XSS跨站脚本攻击漏洞与渗透
关键词:XSS原理、反射型+存储型XSS、常见XSS攻击脚本构造解读(弹框、cookie窃取、重定向、加密编码)、不同安全级别的XSS绕过与漏洞利用、BeEF浏览器渗透框架实战、点击劫持、持久化控制、谷歌/Facebook账号钓鱼、虚假插件更新…
Part 10:CSRF跨站请求伪造漏洞与渗透
关键词:CSRF原理、CSRF与XSS的区分与结合、Cookie和Session会话机制、BeEF+XSS实现get方法的CSRF、BeEF+Burp实现POST方法的CSRF。
报班咨询:
- 班主任微信:tangtangbzr
- 班主任QQ:2115437850