白盒测试与代码审计-蜗牛学苑

首页 / 网络空间安全 · 第三阶段 / 白盒测试与代码审计

发布于 2022-02-08 · 8528 次观看

展开剩余

课时列表
评论
课程介绍
资料列表
教师笔记

01-VAuditDemo审计思路

63分钟 · 1510次播放

02-VAuditDemo安装漏洞

56分钟 · 797次播放

03-VAuditDemo常规漏洞

76分钟 · 517次播放

04-VAuditDemo文件读取

73分钟 · 357次播放

05-VAuditDemo二次注入

75分钟 · 312次播放

06-VAudit漏洞修复.mp4

70分钟 · 59次播放

07-RIPS代码审计系统

43分钟 · 113次播放

08-PHP反序列化漏洞原理

54分钟 · 1351次播放

09-PHP反序列化基础利用链

43分钟 · 209次播放

10-PHP反序列化练习讲解

62分钟 · 253次播放

11-反序列化POP调用链构造一

51分钟 · 198次播放

12-反序列化POP调用链构造二

34分钟 · 130次播放

13-ThinkPHP反序列化漏洞一

46分钟 · 284次播放

14-ThinkPHP反序列化漏洞二

48分钟 · 153次播放

15-ThinkPHP反序列化漏洞三

58分钟 · 104次播放

16-PHAR反序列化漏洞

43分钟 · 201次播放

17-ThinkPHP非强制路由漏洞

41分钟 · 151次播放

18-PHP变量覆盖漏洞原理

61分钟 · 1694次播放

19-PHP弱类型比较漏洞原理

34分钟 · 135次播放

共有条回复

{{replyComment.createTime | dateForMat(replyComment.createTime)}}

课程目标

1、深入理解白盒测试与代码审计技术，能够对各类开源系统或自研代码进行代码审计，熟练运用代码审计工具 2、对各类Web开发框架、CMS系统的进行渗透测试和漏洞利用，熟练运用综合靶场环境如Pikachu、DVWA、DoraBox等 3、对蜗牛学院开发的自主靶场环境进行漏洞学习、漏洞利用和漏洞修复，并学习各类渗透测试报告和漏洞利用案例 4、综合利用所学技术，基于VAuditDemo实战演练平台和ThinkPHP框架反序化等漏洞进行分析，深刻理解代码审计技术

知识要点

基于WoniuMessage和XHCMS的PHP代码审计实战演练、PHP面向对象、魔术方法应用、PHP反序列化漏洞原理、PHP反序列化漏洞POP链构造、PHAR反序列化漏洞利用、各类PHP开发框架漏洞介绍、ThinkPHP漏洞分析与利用、PHP弱类型漏洞、变量覆盖漏洞、RIPS与Fortify代码审计工具应用、Web系统逻辑漏洞、密码重置漏洞、支付逻辑漏洞、各类CMS漏洞与利用、XML外部实体漏洞、内存马与不死马、Pikachu、DVWA、DoraBox、WebGoat（Java版）等综合靶场实战

授课讲师

邓强

蜗牛学苑资深讲师，教学总监，四川大学硕士，系统架构师。20年软件研发、测试、管理及授课经验，精通各种开发和测试技术，如Java开发、PHP开发、Python开发、性能测试、渗透测试、安全攻防等，具备丰富的项目研发和实施经验。从事培训事业以来学生过万，遍布国内外各大IT公司。教学严谨细致、原理讲解透彻、注重底层原理，全面培养学生各项素质。

看看TA的主页

推荐课程

面向过程-杭州

欧洪波 · 297人观看 · 1975分钟

面向过程-杭州

开发环境；变量定义、赋值、运算、常见类型；数组；for、if、for-each、双层for、中断；自定义函数；

加入收藏

MySQL数据库

邓家军 · 1131人观看 · 849分钟

MySQL数据库

掌握常见的单表查询、多表查询、模糊匹配、分组筛选、组合查询等方法和技巧理解事务及事务的隔离级别、理解三范式的定义和应用、熟悉索引和视图的相关知识

熟悉数据库核心概念及常用的数据类型，理解数据完整性和约束的关系熟练使用DDL、DML、DQL、DCL操作数据库常用的对象，表，权限，用户等

加入收藏

Python攻击脚本开发

邓强 · 11848人观看 · 1377分钟

Python攻击脚本开发

1、熟练使用Python完成各类攻击脚本的开发，如加密解密、勒索病毒、爆破脚本、主机与端口扫描、泛洪攻击脚本 2、熟练使用Python的网络库Scapy，并利用Scapy结合Python完成对TCP/IP模型中各个协议的处理和底层实现 3、熟练使用常见的攻击和扫描类工具，如Nmap、Hydra、御剑、Layer、HPing3、wrk等工具 4、熟练使用Python基于DOS攻击进行入侵检测脚本的开发，并逐步理解入侵检测的原理，同时编程实现入侵防御脚本

古典密码学、Python代码实现加密、非对称加密实现、Python开发勒索病毒、质数因子求解、RSA与AES加密、爆破脚本开发、多线程及爆破优化、爆破工具Hydra的使用、Python主机与端口扫描、Scapy交互式命令、Scapy自定义通信数据包、NMap扫描工具的使用、御剑与Layer扫描工具、子域名和后台扫描脚本、Web系统信息采集、泛洪攻击与hping3及wrk的使用、利用Python开发Mac地址泛洪攻击脚本、ARP攻击与欺骗脚本、DOS攻击检测与防御脚本

加入收藏

Linux操作系统

高鹏 · 1459人观看 · 1267分钟

Linux操作系统

Linux作为一个主流的服务器操作系统，是每一个开发工程师必须掌握的重点技术，并且能够熟练运用

Linux安装配置，文件目录操作，VI命令，管理，用户与权限，环境部署，Shell编程

加入收藏

Vue3和ElementUI

江岚 · 14422人观看 · 732分钟

Vue3和ElementUI

使用Echarts对数据实现动态的可视化渲染，了解d3.js的基本语法通过vite搭建vue3.0项目，并使用vue3.0完成基本的前端开发

elementui框架、Echarts、d3.js、vite工具的使用、Vue3.0

加入收藏

网络协议与攻击模拟

杨文财 · 13667人观看 · 1434分钟

网络协议与攻击模拟

1、熟练使用Wireshark进行协议监控与分析，掌握Wireshark抓包与过滤规则和语法，熟练运用Wireshark重要功能 2、熟练掌握TCP和IP协议簇核心协议，如TCP、UDP、IP、ARP、ICMP、Ping、SNMP等，对对其进行监控与分析 3、深入理解核心的应用层协议，如HTTP、HTTPS、WebSocket、SMTP、POP3、IMAP、SSH、DNS、DHCP等，并配置相应实验环境

Wireshark高级应用、Mac地址泛洪攻击、ARP协议与攻击原理、ARP欺骗、ICMP协议、ICMP泛洪攻击、TCP、UDP、SYN泛洪攻击、部署DHCP服务器、DHCP攻击、部署DNS服务器、DNS欺骗、部署IIS服务器、HTTP协议、HTTP暴力破解、wrk泛洪攻击、HTTPS协议与部署、部署邮件服务器、SMTP/IMAP/POP3邮件协议、网络流量安全分析、无线WIFI协议与攻击

加入收藏

Python爬虫

卿淳俊 · 10227人观看 · 1460分钟

Python爬虫

主要是针对不了解爬虫、数据分析的学员，用案例实战的形式带领大家了解和入门爬虫和数据分析可视化这个行业，为以后进入机器学习、数据挖掘行业打下基础

加入收藏

MySQL数据库

胡名海 · 28739人观看 · 881分钟

MySQL数据库

深入理解数据库管理系统通用知识及MySQL数据库的使用与管理。梳理WoniuBooks系统业务关系，并建立数据表和填补数据，为WoniuBooks系统测试打下基础

数据库知识，范式，MySQL配置，命令，建库建表，数据的增删改查，约束，存储过程，函数，触发器，事务，游标

加入收藏

RobotFramework

王斌 · 4221人观看 · 303分钟

RobotFramework

RobotFramework简介和工作原理，输入输出操作，鼠标键盘操作，测试报告输出

加入收藏

界面设计（进阶）

陈中明 · 3131人观看 · 648分钟

界面设计（进阶）

·了解小程序与APP的设计异同 ·掌握小程序的设计规范 ·了解暗黑模式的设计原则与设计规范 ·了解适配三原则以及如何利用Sketch、XD等软件进行适配设计 ·了解安卓设计与iOS设计的异同 ·能简要概述安卓设计与iOS设计的设计理念/设计主题 ·能熟练进行项目的命名、切图、标注等工作 ·能数量使用蓝湖、墨刀、摹客、像素大厨等工具同开发进行协作

·小程序的设计 ·暗黑模式的设计 ·安卓设计与iOS设计的异同 ·界面适配原则与操作方法 ·命名、切图、标注、开发协作

加入收藏

Java核心编程

邓强 · 4254人观看 · 1593分钟

Java核心编程

掌握面向对象思想，利用对象行为重构WoniuATM，掌握java.lang包的重要对象的应用

Java面向对象，封装，继承，多态，基本设计原则，类加载机制，常用API对象

加入收藏

系统测试方法与应用

邓强 · 2920人观看 · 1410分钟

系统测试方法与应用

理解软件工程的各类实际问题，树立清晰的学习目标，掌握测试用例设计的常用方法和综合运用

软件工程，软件质量，系统测试流程，方法，软件测试专业术语，测试用例设计，测试报告，缺陷管理

加入收藏

基本信息

联系信息

上传资料