WEB工作原理和常见漏洞分析和防御.pdf

常涛 CTO-技术共享平台-技术保障-系统部-安全技术-Web安全2组 Web工作原理和常见漏洞分析和防御 2 讲师简介 CTO-技术共享平台-技术保障-系统部-安全技术-Web安全2组 杭州电子科技大学-信息安全 陕西榆林人 3 系列课程简介 关于安全技能的系列课程 Web工作原理和常见漏洞分析和防御 淘宝网络攻击防御 加密算法和技术 SecurityMatrix与反作弊 淘宝攻击防御系统-TMD Windows软件漏洞挖掘与调试技术 深入浅出数据安全 4 课程目标与目标学员 面向学员：WEB系统开发和测试 课程目标：通过本课程，学员能够：如何利用阿里的Java解决方案 burpsuite功能 攻击者思路 HTTP协议&浏览器工作原理 如何自己设计解决方案 自学成为极客 5 目录 1.拿来主义（1525分钟）JAVA开发 2.攻击者的思维（2030分钟）通用知识 3.知其所以然（3040分钟）通用知识 4.极客之路（1020分钟）通用知识 6 拿来主义（1525分钟）7 拿来主义 1，work.alibaba-中的搜索“淘宝安全包”内外分享 应用范围：应用范围：Java&浏览器浏览器&ibatis http:/ 2，burpsuite的使用，WEB测试的工具套装 软件下载地址：http:/ 攻击者的思维（2030分钟）破坏者的思维 1.被动攻击 2.主动攻击 3.思路逆转 被动攻击 Kismet-无线嗅探-被动攻击 主动攻击 UC浏览器-代理工具-主动攻击 思路逆转 文字注入-思路逆转 图片注入-思路逆转 JS注入-思路逆转 iframe注入-思路逆转 http:/aita.alibaba- 同源策略-思路逆转 20 知其所以然（3040分钟）21 HTTP协议 1，HTTP协议概述 a，协议是一系列步骤，它包括两方或多方，设计它的目的是完成一项任务。a.1，”一系列“：时序性；a.2，”包括两方或多方“完成至少需要两个人。2，协议的其他特点 a，协议中每个人必须了解协议，并且预先知道所要完成的所有步骤；b，协议中的每个人都必须同意并遵守它。c，协议必须是清楚的，每一步必须明确定义，并且不会引起误解。d，协议必须是完整的，对每种可能的情况必须规定具体的动作。22 时序-HTTP协议 浏览器工作原理 1，作为HTTP协议的参与者 2，作为CSS，HTML，JS以及其他资源的管理者 HTTP协议参与者 25 资源管理者 资源管理者 资源管理者 资源管理者 资源管理者 30 休息一下（5分钟）极客之路（1020分钟）电子学 单片机 汇编语言 操作系统 应用程序 协议 解决问题的思路实现 39 总结 1.拿来主义（1525分钟）JAVA开发 2.知其所以然（3040分钟）通用知识 3.攻击者的思维（2030分钟）通用知识 4.极客之路（1020分钟）通用知识 谢 谢！