第二十周 反序列化漏洞(一)原理、基础知识和POP链
本周我们将对CTF竞赛中的另一热门考点反序列化进行讲解,我们先对PHP反序列化的一些基础进行学习,包括反序列化使用、魔术方法等。而后学习PHP反序列化中必须掌握的知识点POP链的构造
第二十一周(12月25日更新) 反序列化漏洞(二)Phar反序列化和字符串逃逸
本周我们将在上一周的基础上对序列化的知识点进行深入的学习,我们将细致的学习Phar反序列化及其原理;此外我们将看一个非常经典的反序列化利用方式,字符串逃逸。经过本周学习,相信同学们将对反序列化有了更为深入的理解。
第二十二周(待更新) 反序列化漏洞(三)ThinkPHP反序列链分析
本周我们将对ThinkPHP框架中的反序列化链做一个分析讲解。经过本周的学习,同学们将掌握基础的框架反序列化链的挖掘
第二十三周(待更新) 反序列化漏洞(四)Laravel反序列化链分析
本周我们将对另一个热门的PHP框架Laravel中的反序列化漏洞进行分析,本周之后相信同学们今后在遇到Laravel类型的会更为胸有成竹。
第二十四周(待更新) SSRF(一)原理与基础利用
本周开始讲解Web安全中另一个重要的漏洞——SSRF,我们将对其漏洞背后的成因、一些基本的测试fuzzing技巧和基础的利用做一个详尽的学习。
第二十五周(待更新) SSRF(二)Soap类SSRF、Gopher在SSRF中的妙用
本周将带领同学们一起学习PHP原生类Soap在SSRF中的利用技巧,并对SSRF中的万金油协议Gopher以及其利用技巧做一个全面而详尽的介绍。
第二十六周 (待更新) XXE(一)原理和前置知识
本周我们开始学习外部实体注入相关的知识,我们将从XML的基础开始学习,探究其漏洞的成因,并对相关PHP函数做一个详尽的讲解;此外我们将对其的一些基础利用比如文件读取、内网探测等做一些介绍
第二十七周(待更新) XXE(二)Blind XXE和例题讲解
本周我们在上一周的基础上探讨无回显XXE的利用技巧,经过本周的学习,同学们将对XXE漏洞有着较为全面的认识。
第二十八周(待更新) SSTI——原理、绕过与例题讲解
本周我们将对模板注入漏洞做一个详尽的介绍,包括其原理、常见的过滤与绕过方式和对应的出题方式。经过本周的学习,同学们将掌握模板注入这一漏洞的解题技巧,具备完善的实战能力
第二十九周(待更新) 前端安全(一)同源策略攻防
本周开始我们进入前端安全板块的学习,首先我们需要学习下前端安全中一个非常重要的概念——同源策略,在本周的学习里我们将讲解何为同源策略,作为一名安全人员我们怎么去处理同源策略所产生的问题。
第三十周(待更新) 前端安全(二)XSS原理、绕过与例题讲解
本周我们将学习Web中另一个十分经典的漏洞XSS,即跨站脚本执行。我们将对其原理、绕过方式和常见的出题方式进行系统化的学习。
第三十一周(待更新) 前端安全(三)CSRF与JSONP安全问题
本周,我们将对CSRF进行学习,CSRF在CTF竞赛中的出镜率并不高,但学习其原理和利用方式有助于我们理解真正的前端安全,此外我们还会对JSONP的安全问题做一些介绍。本周也是前端安全板块的最后一周,相信结束后,同学们会对前端安全有了自己的理解。
第三十二周(待更新) Node.js与原型链污染
本周是我们课程的最后一周,我们将对Node.js相关安全问题进行学习,主要是与原型链污染相关的话题。经过本周的学习后,我们将掌握什么是原型链污染以及处理该类问题的能力。