課程大綱：

Kali 滲透測試：Web 應用攻擊培訓

1 Web滲透測試基礎

2 反射型跨站腳本（XSS）攻擊

3 SQL注入

4 Metasploit 滲透攻擊 Web 服務

5 跨站請求偽造（CSRF）

6 驗證碼安全問題

7 Web 會話劫持

8 BeEF攻擊實戰

9 存儲型跨站腳本（XSS）攻擊

10 本地文件包含

11 Web 弱密碼暴力破解

12 命令注入攻擊

13 Ajax 安全問題

1
Web 滲透測試說明

1.KaliLinux的簡介

2.Web滲透的簡介

3.KaliLinux的搭建與部署

4.Metasploitable2靶機的了解

5.學習樓提供的多機環境如何使用

6.嘗試簡單的命令注入

2
發現 Web 漏洞的方法

1.確定目標

2.信息采集

3.漏洞掃描

4.漏洞驗證

5.權限維持

6.文檔記錄

3
BeEF 攻擊實戰

1.BeEF的大體實現結構

2.BeEF的所屬攻擊類型

3.BeEF的網頁源碼竊取

4.BeEF的彈窗提示

5.BeEF的釣魚登錄竊密實現

4
反射型跨站腳本（XSS）攻擊

1.反射型XSS的簡介

2.反射型XSS的實現

3.反射型XSS的防范

5
存儲型跨站腳本（XSS）攻擊

1.存儲型XSS簡介

2.存儲型XSS的簡單

3.存儲型XSS的中間人攻擊

6
SQL 注入

1.SQL注入簡介

2.SQL注入初試

3.SQL注入防范

7
SQL注入（Blind）

1.SQL盲注簡介

2.SQL盲注之延時注入

3.SQL注入利器sqlmal的初步使用

8
本地文件包含

1.本地包含簡介

2.本地包含嘗試

3.本地包含進階

4.本地包含防范

9
遠程文件包含

1.遠程文件包含簡介

2.遠程文件包含嘗試

3.遠程文件包含進階

10
Metasploit 滲透攻擊 Web 服務

1.回顧文件包含漏洞

2.利用msf生成攻擊腳本

3.利用反彈shell登錄目標主機

11
Web 弱密碼暴力破解

1.暴力破解簡介

2.暴力破解工具

3.暴力破解實戰

4.暴力破解防范

12
跨站請求偽造（CSRF）
13
命令注入攻擊

1.命令注入簡介

2.命令注入初試

3.命令注入進階

4.命令注入防范

14
驗證碼安全問題

1.驗證碼安全簡介

2.驗證碼安全方式

3.繞過驗證的實戰（及防范）

15
拒絕服務攻擊（Dos）

1.Dos簡介

2.Dossyn原理

3.Dos實戰

16
Ajax 安全問題

1.Ajax安全簡介

2.環境與工具準備

3.Ajax安全實戰

17
Web 會話劫持

1.sessionhijacking簡介

2.session簡介

3.sessionhijacking實戰

18
使用 Metasploit 攻擊 IE 瀏覽器漏洞

1.Linux操作系統的基本操作

2.Metasploit的基本使用

3.IE瀏覽器的漏洞相關知識

4.攻擊模塊的Ruby源碼含義

19
WebShell 訪問后門

1.Webshell簡介

2.Weevely介紹

3.Webshell實戰

4.Webshell防范

20
如何避免 Web 安全漏洞

1.HTTPHeader防御簡介

2.避免點擊挾持

3.避免cookie竊取