Web安全学习笔记

内容索引:

• 1. 序章
  • 1.1. Web技术演化
  • 1.2. Web攻防技术演化
  • 1.3. 网络安全观
• 2. 计算机网络与协议
  • 2.1. 网络基础
  • 2.2. UDP协议
  • 2.3. TCP协议
  • 2.4. DHCP协议
  • 2.5. 路由算法
  • 2.6. 域名系统
  • 2.7. HTTP协议簇
  • 2.8. SSL/TLS
  • 2.9. IPsec
  • 2.10. Wi-Fi
• 3. 信息收集
  • 3.1. 域名信息
  • 3.2. 端口信息
  • 3.3. 站点信息
  • 3.4. 搜索引擎利用
  • 3.5. 社会工程学
  • 3.6. 参考链接
• 4. 常见漏洞攻防
  • 4.1. SQL注入
  • 4.2. XSS
  • 4.3. CSRF
  • 4.4. SSRF
  • 4.5. 命令注入
  • 4.6. 目录穿越
  • 4.7. 文件读取
  • 4.8. 文件上传
  • 4.9. 文件包含
  • 4.10. XXE
  • 4.11. 模版注入
  • 4.12. Xpath注入
  • 4.13. 逻辑漏洞 / 业务漏洞
  • 4.14. 配置安全
  • 4.15. 中间件
  • 4.16. Web Cache欺骗攻击
  • 4.17. HTTP 请求走私
• 5. 语言与框架
  • 5.1. PHP
  • 5.2. Python
  • 5.3. Java
  • 5.4. JavaScript
  • 5.5. Golang
  • 5.6. Ruby
  • 5.7. ASP
• 6. 内网渗透
  • 6.1. 信息收集 - Windows
  • 6.2. 持久化 - Windows
  • 6.3. 域渗透
  • 6.4. 信息收集 - Linux
  • 6.5. 持久化 - Linux
  • 6.6. 痕迹清理
  • 6.7. 综合技巧
  • 6.8. 参考链接
• 7. 防御技术
  • 7.1. 团队建设
  • 7.2. 安全开发
  • 7.3. 威胁情报
  • 7.4. ​​ATT&CK
  • 7.5. 风险控制
  • 7.6. 防御框架
  • 7.7. 加固检查
  • 7.8. 入侵检测
  • 7.9. 蜜罐技术
  • 7.10. RASP
  • 7.11. 应急响应
  • 7.12. 溯源分析
• 8. 认证机制
  • 8.1. SSO
  • 8.2. JWT
  • 8.3. OAuth
  • 8.4. SAML
  • 8.5. Windows
  • 8.6. Kerberos
  • 8.7. NTLM 身份验证
  • 8.8. NTLM认证
  • 8.9. Hash
  • 8.10. 攻击
  • 8.11. 参考链接
• 9. 工具与资源
  • 9.1. 推荐资源
  • 9.2. 相关论文
  • 9.3. 信息收集
  • 9.4. 社会工程学
  • 9.5. 模糊测试
  • 9.6. 漏洞利用
  • 9.7. Web持久化
  • 9.8. 操作系统持久化
  • 9.9. 防御
  • 9.10. 运维
  • 9.11. 其他
• 10. 手册速查
  • 10.1. 爆破工具
  • 10.2. 下载工具
  • 10.3. 流量相关
  • 10.4. 嗅探工具
  • 10.5. SQLMap使用
• 11. 其他
  • 11.1. 代码审计
  • 11.2. WAF
  • 11.3. Unicode
  • 11.4. 拒绝服务攻击
  • 11.5. Docker
  • 11.6. APT