白盒测试与代码审计-蜗牛学苑

首页 / 网络空间安全 · 第三阶段 / 白盒测试与代码审计

发布于 2022-02-08 · 8406 次观看

展开剩余

课时列表
评论
课程介绍
资料列表
教师笔记

01-VAuditDemo审计思路

63分钟 · 1499次播放

02-VAuditDemo安装漏洞

56分钟 · 797次播放

03-VAuditDemo常规漏洞

76分钟 · 517次播放

04-VAuditDemo文件读取

73分钟 · 355次播放

05-VAuditDemo二次注入

75分钟 · 312次播放

06-VAudit漏洞修复.mp4

70分钟 · 59次播放

07-RIPS代码审计系统

43分钟 · 112次播放

08-PHP反序列化漏洞原理

54分钟 · 1347次播放

09-PHP反序列化基础利用链

43分钟 · 207次播放

10-PHP反序列化练习讲解

62分钟 · 249次播放

11-反序列化POP调用链构造一

51分钟 · 189次播放

12-反序列化POP调用链构造二

34分钟 · 126次播放

13-ThinkPHP反序列化漏洞一

46分钟 · 274次播放

14-ThinkPHP反序列化漏洞二

48分钟 · 148次播放

15-ThinkPHP反序列化漏洞三

58分钟 · 99次播放

16-PHAR反序列化漏洞

43分钟 · 195次播放

17-ThinkPHP非强制路由漏洞

41分钟 · 143次播放

18-PHP变量覆盖漏洞原理

61分钟 · 1645次播放

19-PHP弱类型比较漏洞原理

34分钟 · 133次播放

共有条回复

{{replyComment.createTime | dateForMat(replyComment.createTime)}}

课程目标

1、深入理解白盒测试与代码审计技术，能够对各类开源系统或自研代码进行代码审计，熟练运用代码审计工具 2、对各类Web开发框架、CMS系统的进行渗透测试和漏洞利用，熟练运用综合靶场环境如Pikachu、DVWA、DoraBox等 3、对蜗牛学院开发的自主靶场环境进行漏洞学习、漏洞利用和漏洞修复，并学习各类渗透测试报告和漏洞利用案例 4、综合利用所学技术，基于VAuditDemo实战演练平台和ThinkPHP框架反序化等漏洞进行分析，深刻理解代码审计技术

知识要点

基于WoniuMessage和XHCMS的PHP代码审计实战演练、PHP面向对象、魔术方法应用、PHP反序列化漏洞原理、PHP反序列化漏洞POP链构造、PHAR反序列化漏洞利用、各类PHP开发框架漏洞介绍、ThinkPHP漏洞分析与利用、PHP弱类型漏洞、变量覆盖漏洞、RIPS与Fortify代码审计工具应用、Web系统逻辑漏洞、密码重置漏洞、支付逻辑漏洞、各类CMS漏洞与利用、XML外部实体漏洞、内存马与不死马、Pikachu、DVWA、DoraBox、WebGoat（Java版）等综合靶场实战

授课讲师

邓强

蜗牛学苑资深讲师，教学总监，四川大学硕士，系统架构师。20年软件研发、测试、管理及授课经验，精通各种开发和测试技术，如Java开发、PHP开发、Python开发、性能测试、渗透测试、安全攻防等，具备丰富的项目研发和实施经验。从事培训事业以来学生过万，遍布国内外各大IT公司。教学严谨细致、原理讲解透彻、注重底层原理，全面培养学生各项素质。

看看TA的主页

推荐课程

linux系统

邓家军 · 868人观看 · 581分钟

linux系统

加入收藏

相关分析与关联分析

熟悉掌握独立样本均值差的假设检验、独立样本比例差的假设检验、成对样本的假设检验

数据分布-总体分布、数据分布-样本分布、数据分布-抽样分布、参数估计-点估计、参数估计-区间估计。假设检验概念、假设检验的生活实例、假设检验基本步骤、不同的假设检验。

加入收藏

PHP代码审计与反序列化

邓强 · 4592人观看 · 972分钟

PHP代码审计与反序列化

PHP反序列化、PHP的POP链构造、ThinkPHP反序列化漏洞分析与利用、PHP变量覆盖漏洞、弱类型漏洞分析等

PHP语言高级特性分析、PHP高危函数、VAudit系统代码审计、白盒测试与攻击模拟、youbbs代码审计、PHP代码分析、PHP面向对象

加入收藏

Java和CVE漏洞复现

邓强 · 2545人观看 · 2235分钟

Java和CVE漏洞复现

1、能够利用各类安全漏洞网站的公开漏洞，或者利用搜索引擎及时查寻各类最新漏洞，并复现相应漏洞 2、分析和复现各类CVE漏洞，并在PHP和系统之外，积累更多漏洞知识和经验，理解其形成机制，提升综合竞争力 3、综合运用前述知识，从技术、方案、实现、优化等方面，初步达到中级网络安全工程师的能力

Java漏洞利用：Log4J2、JWT、Shiro、FastJSON、Spring、Spring-Cloud、Spring-Security、Weblogic、Tomcat、ActiveMQ、Struts2、Jboss、ysoserial工具使用、Java反序列化利用链分析，Django漏洞、Office RCE漏洞、Jenkins漏洞、WordPress漏洞、Drupal漏洞、各类CMS漏洞、各类OA漏洞，SRC众测平台实战

加入收藏

Java语言基础

陈云 · 9567人观看 · 928分钟

Java语言基础

Java语言的语法基础

加入收藏

系统测试基础预科

邬艳 · 6298人观看 · 427分钟

系统测试基础预科

理解软件工程的各类实际问题，理解系统测试的理论、方法与过程，熟练运用测试用例设计方法高效设计测试用例

软件工程，软件质量，系统测试流程，方法，专业术语，测试用例设计，禅道管理工具，测试报告，缺陷管理

加入收藏

JAVA技术面试辅导公开课

吴聪聪 · 604人观看 · 165分钟

JAVA技术面试辅导公开课

展望未来，分析企业需求变化趋势。

1.精准切出企业技术需求命脉。 2.超级效率的复习和刷题方法。

加入收藏

Windows操作系统进阶

杨文财 · 5949人观看 · 741分钟

Windows操作系统进阶

1、能够在Windows操作系统下完成IIS服务器、邮件服务器、AD域控、DHCP服务器、VMWare虚拟机等环境和系统配置 2、能够在Windows环境中熟练使用Powershell完成批处理脚本开发，掌握各类Windows环境下的漏洞、病毒与防护处理 3、基于Windows系统平台和Powershell等脚本语言，结合前面所学内容，对网络安全的基本攻防有初步的认知和实战能力

配置AD域控服务器、域组策略、Windows防火墙配置、netsh命令配置防火墙、Powershell ISE开发工具、Powershell基础语法、控制语句、函数、管道、文件操作，Powershell实验场景：定时备份数据，站点可用性监控，性能指标监控，端口与进程监控，敏感文件监控，防火墙安全应急

加入收藏

日志分析与HIDS系统

邓强 · 8927人观看 · 969分钟

日志分析与HIDS系统

1、能够对常见的主机系统的攻击日志特征进行有效的监控和分析 2、具备利用Python开发一套HIDS原型工具的基础脚本能力 3、熟练使用HIDS系统Wazuh/OSSEC进行入侵检测与防御，并具备手写规则的能力 4、对目前主流的云服务器环境安全及HIDS的综合应用有深刻的理解 5、能够对Linux、Windows、数据库、中间件、服务器环境进行加固和测评

利用Python解析访问日志、统计日志信息、绘制日志报表、CSP安全日志分析脚本、检测敏感文件脚本、脆弱项扫描脚本、安全预警和应急响应脚本，HIDS入侵检测系统Wazuh的安装配置、攻击预警、配置阈值预警规则、实现分布式入侵检测、对Docker进行检测、实现安全合规、Wazuh的高级应用、为Wazuh配置ELK日志系统、云服务器环境安全、系统与应用安全加固

加入收藏

H5应用

邓乃文 · 7744人观看 · 396分钟

H5应用

熟练使用所学知识来完成蜗牛电影城项目开发和蜗牛小麦网项目开发

jQuery实战、H5相关api、以及canvas 绘图技术使用、随机数据模拟

加入收藏

Redux状态管理

徐朝波 · 7091人观看 · 1343分钟

Redux状态管理

Redux、saga、thunk中间件、React Native：环境搭建、组件、样式、表单、事件、网络请求、列表刷新、导航、底部tab导航栏、打包 APK

加入收藏

统计推断

周一 · 7034人观看 · 1154分钟

统计推断

熟悉掌握独立样本均值差的假设检验、独立样本比例差的假设检验、成对样本的假设检验

加入收藏

基本信息

联系信息

上传资料