近几年 Web 安全事件层出不穷,如数据库资料被窃取、删除;服务器遭受入侵,用户账号被盗;用户资料被修改、被钓鱼、勒索病毒等,一旦发生,对企业而言都是不小的打击。而对开发者来说,攻击和防护是同一事物的一体两面。熟悉安全攻防技术,才能防患于未然,开发出更加安全的产品和服务,进而提升用户对产品的信任度。但 Web 安全跟开发不同,不能学一部分就用一部分。它是一个 Web 领域全维度的东西,覆盖的知识面广,不仅要求我们得深入了解网络协议,还要掌握一些前后端代码及数据库的相关知识。分享一张 Web安全攻防要点图,帮你梳理其核心知识点。
这张图出自王昊天,螣龙安科创始人兼 CEO,在信息安全行业工作 10 年了,是国家级网络安全团队负责人,在与 Google、Yahoo、AOL、新华工控等大厂合作的多个超大型网络安全项目中都担任负责人及网络安全顾问。
所以在得知天哥出了《Web安全攻防实战》视频课的时候,我立马就去支持了。他通过对 SQL 注入、XSS、CSRF 等漏洞的底层原理分析,加上手把手实战,带我们快速掌握前后端框架及容器安全的攻防技巧,还加了不少互联网公司的安全运营策略,做到真正为我们的业务安全保驾护航,也是非常走心了。天哥对 Web 安全、内网渗透、复杂 APT 渗透、网络武器开发和漏洞利用,一直都比较深入的研究。曾经担任主架构师负责的项目包括:全网域 WebApp 漏洞扫描及利用框架、面向邮件系统的 Phishing 攻击链、复杂内网环境隐蔽穿透、基于 C 语言开发的高性能高可控隐蔽型 tunnel、基于区块链技术的隐蔽信息传输、基于面向多应用信道的 CASB、基于 Windows NT 内核的文件过滤系统及抗勒索病毒文件保护系统等等。第一部分,Web 基础技术,讲解 Web 安全相关的前后端、数据库知识,比如 HTML、CSS、JavaScript、Python、MySQL 等等。第二部分,Web 安全攻防实战,他将从两个方面分别讲解,带你由浅入深地掌握 Web 安全的核心技术。他会从“网络协议 - 漏洞分类 - 网络安全工具 - 法律法规”和“后端 - 框架 - 前端 - 容器 - 语言 - 实际业务场景攻击”两个链条带你深入挖掘每一个安全问题,分析常见安全漏洞,讲解相应防御技巧,包括:文件上传漏洞、注入攻击漏洞、XSS 漏洞、CSRF、容器安全等等。第三部分,互联网公司安全运营,讲解互联网从业者会遇到的业务安全领域问题,既包括一些业务逻辑层的安全,也包括类似钓鱼、用户隐私泄露等,这样一些层次的安全。从安全从业人员、运维人员、开发人员三个角度出发,分别讲述对应身份所要了解的安全问题,及掌握技术的实现方式。总的来说,跟他学完这门课,你会掌握 Web 领域的核心攻防技术、安全维护技术、安全运维技术,并有足够的能力去安全地运维一个以 Web 服务为核心的业务线。课程上线后圈内口碑一直不错,不信你看看大纲,是不是干货满满: