你将学到的
  • Web渗透测试基础
  • 反射型跨站脚本(XSS)攻击
  • SQL注入
  • Metasploit 渗透攻击 Web 服务
  • 跨站请求伪造(CSRF)
  • 验证码安全问题
  • Web 会话劫持
  • BeEF攻击实战
  • 存储型跨站脚本(XSS)攻击
  • 本地文件包含
  • Web 弱密码暴力破解
  • 命令注入攻击
  • Ajax 安全问题
课程内容
  共20个章节
lab-classic 实验 1 Web 渗透测试实验说明

知识点: 1.KaliLinux的简介 2.Web渗透的简介 3.KaliLinux的搭建与部署 4.Metasploitable2靶机的了解 5.学习实验楼提供的多机实验环境如何使用 6.尝试简单的命令注入

lab-classic 实验 2 发现 Web 漏洞的方法

知识点: 1.确定目标 2.信息采集 3.漏洞扫描 4.漏洞验证 5.权限维持 6.文档记录

lab-classic 实验 3 BeEF 攻击实战

知识点: 1.BeEF的大体实现结构 2.BeEF的所属攻击类型 3.BeEF的网页源码窃取 4.BeEF的弹窗提示 5.BeEF的钓鱼登陆窃密实现

lab-classic 实验 4 反射型跨站脚本(XSS)攻击

知识点: 1.反射型XSS的简介 2.反射型XSS的实现 3.反射型XSS的防范

lab-classic 实验 5 存储型跨站脚本(XSS)攻击

知识点: 1.存储型XSS简介 2.存储型XSS的简单实验 3.存储型XSS的中间人攻击

知识点: 1.SQL注入简介 2.SQL注入初试 3.SQL注入防范

lab-classic 实验 7 SQL注入(Blind)

知识点: 1.SQL盲注简介 2.SQL盲注之延时注入 3.SQL注入利器sqlmal的初步使用

lab-classic 实验 8 本地文件包含

知识点: 1.本地包含简介 2.本地包含尝试 3.本地包含进阶 4.本地包含防范

lab-classic 实验 9 远程文件包含

知识点: 1.远程文件包含简介 2.远程文件包含尝试 3.远程文件包含进阶

lab-classic 实验 10 Metasploit 渗透攻击 Web 服务

知识点: 1.回顾文件包含漏洞 2.利用msf生成攻击脚本 3.利用反弹shell登陆目标主机

lab-classic 实验 11 Web 弱密码暴力破解

知识点: 1.暴力破解简介 2.暴力破解工具 3.暴力破解实战 4.暴力破解防范

lab-classic 实验 12 跨站请求伪造(CSRF)
lab-classic 实验 13 命令注入攻击

知识点: 1.命令注入简介 2.命令注入初试 3.命令注入进阶 4.命令注入防范

lab-classic 实验 14 验证码安全问题

知识点: 1.验证码安全简介 2.验证码安全方式 3.绕过验证的实战(及防范)

lab-classic 实验 15 拒绝服务攻击(Dos)

知识点: 1.Dos简介 2.Dossyn原理 3.Dos实战

lab-classic 实验 16 Ajax 安全问题

知识点: 1.Ajax安全简介 2.实验环境与工具准备 3.Ajax安全实战

lab-classic 实验 17 Web 会话劫持

知识点: 1.sessionhijacking简介 2.session简介 3.sessionhijacking实战

lab-classic 实验 18 使用 Metasploit 攻击 IE 浏览器漏洞

知识点: 1.Linux操作系统的基本操作 2.Metasploit的基本使用 3.IE浏览器的漏洞相关知识 4.攻击模块的Ruby源码含义

lab-classic 实验 19 WebShell 访问后门

知识点: 1.Webshell简介 2.Weevely介绍 3.Webshell实战 4.Webshell防范

lab-classic 实验 20 如何避免 Web 安全漏洞

知识点: 1.HTTPHeader防御简介 2.避免点击挟持 3.避免cookie窃取

课程介绍

Kali,服务器攻击实验,FTP,Tomcat,NFS,Samba,服务漏洞,Nmap,Metasploit

Kali 渗透测试 - Web应用攻击实战(20个实验)

在如今的时代,Web 应用已成为人们不可或缺的工具,大量的敏感信息与金钱都在网上进行流动,使得 Web 安全极为的重要。

本训练营课程将通过一系列实验学习 Web 渗透测试技术基础,在实验中尝试和学习经典的 Web 安全漏洞:跨站脚本XSSSQL注入文件包含等。

完全在线实验的Kali渗透测试Web应用方向的培训课程,由实验楼与多年信息安全经验的工程师一起制作了20个实验内容。不仅拥有丰富的基础理论和攻击代码讲解,让你掌握具体的实现原理,而且为每一步操作都配了详细截图,保证新手也能跟随文档完成学习。

课程信息

  • 学习周期:实验内容长期有效,课程环境有效期2个月

    提醒:每个实验可开启6次在线环境(每次60分钟)

  • 课程价格:当前优惠价 99元
  • 企业团报:可获得更多支持服务,点击 购买咨询

适合人群

  • 对信息安全、网络攻防、渗透测试有兴趣的所有人,零基础也可以学习,但建议先学完免费课程 Linux 基础入门

课程介绍

Kali 的教程网上有很多,但缺少系统化的在线实验课程,所以我们策划制作了 Kali 渗透测试系列课程。20个实验带你亲身体验 Web 安全漏洞渗透的基础知识。针对 XSS,SQL 注入,CSRF等安全漏洞, 使用 Kali 及 Metasploit 等安全工具进行渗透测试。与其他教程主要的不同点:

  1. 提供在线实验环境,保证可以 完全在线完成所有实验,省去本地搭建环境的繁琐
  2. 实验步骤尽可能的详细,提供每个步骤的详细截图,让新手也可以动手完成

实验环境

实验环境中攻击机使用的是 Kali 虚拟机,系统为最新版2.0-201602,另外提供一台有多种漏洞的 Linux 实验机做为靶机。部分实验过程中的截图。

Metasploit 启动截图 此处输入图片的描述

DVWA提供的反射型 XSS 的攻击平台 dvwa-reflected.png

弹出facebook登录获取帐号密码 beef-pretty-facebook.png

实验列表

实验1:Web 渗透测试实验说明

  • Kali Linux 的简介
  • web 渗透的简介
  • Kali Linux 的搭建与部署
  • Metasploitable2 靶机的了解
  • 学习实验楼提供的多机实验环境如何使用
  • 尝试简单的命令注入

实验2:发现 Web 漏洞的方法

  • 渗透测试的流程
    • 确定目标
    • 信息采集
    • 漏洞扫描
    • 漏洞验证
    • 权限维持
    • 文档记录

实验3:BeEF 攻击实战

  • BeEF 的大体实现结构
  • BeEF 的所属攻击类型
  • BeEF 的网页源码窃取
  • BeEF 的弹窗提示
  • BeEF 的钓鱼登陆窃密实现

实验4:反射型跨站脚本(XSS)攻击

  • 反射型 XSS 的简介
  • 反射型 XSS 的实现
  • 反射型 XSS 的防范

实验5:存储型跨站脚本(XSS)攻击

  • 存储型 XSS 简介
  • 存储型 XSS 的简单实验
  • 存储型 XSS 的中间人攻击

实验6:SQL注入

  • SQL 注入简介
  • SQL 注入初试
  • SQL 注入防范

实验7:SQL注入(Blind)

  • SQL 盲注简介
  • SQL 盲注之延时注入
  • SQL 注入利器 sqlmal 的初步使用

实验8:本地文件包含

  • 本地包含简介
  • 本地包含尝试
  • 本地包含防范

实验9:远程文件包含

  • 远程文件包含简介
  • 远程文件包含尝试
  • 远程文件包含进阶

实验10:Metasploit 渗透攻击 Web 服务

  • 回顾文件包含漏洞
  • 利用 msf 生成攻击脚本
  • 利用反弹 shell 登陆目标主机

实验11:Web 弱密码暴力破解

  • 暴力破解简介
  • 暴力破解工具
  • 暴力破解实战
  • 暴力破解防范

实验12:跨站请求伪造(CSRF)

  • CSRF 简介
  • CSRF 实战
  • CSRF 防范

实验13:命令注入攻击

  • 命令注入简介
  • 命令注入初试
  • 命令注入进阶
  • 命令注入防范

实验14:验证码安全问题

  • 验证码安全简介
  • 验证码安全方式
  • 绕过验证的实战(及防范)

实验15:拒绝服务攻击(DoS)

  • Dos 简介
  • Dos syn 原理
  • Dos 实战

实验16:Ajax 安全问题

  • Ajax 安全简介
  • 实验环境与工具准备
  • Ajax 安全实战

实验17:Web 会话劫持

  • session hijacking 简介
  • session 简介
  • session hijacking 实战

实验18:使用 Metasploit 攻击 IE 浏览器漏洞

  • Linux 操作系统的基本操作
  • Metasploit 的基本使用
  • IE 浏览器的漏洞相关知识
  • 攻击模块的 Ruby 源码含义

实验19:WebShell 访问后门

  • Webshell 简介
  • Weevely 介绍
  • Webshell 实战
  • Webshell 防范

实验20:如何避免 Web 安全漏洞

  • HTTP Header 防御简介
  • 避免点击挟持
  • 避免 cookie 窃取

常见问题

课程可以开具发票吗?

课程可以开具普通发票,请在购买后30天内填写发票需求表单:发票信息

课程内容是否有视频?

没有视频,纯动手实验,不动手不会有任何收获。

课程如何学习?

加入课程,按照实验文档一步步在实验环境中进行操作,完成动手实验。

部分实验后有有意思的作业,需要你的思考来完成,欢迎将作业发不到讨论区与老师和同学交流讨论。

每个实验需要多久时间完成?

每个实验规模有很大差异,需要1-2小时的动手操作时间。

课程教师

Richardwei 共发布过 6 门课程

查看老师的所有课程 >
实验楼楼+
实验楼会员