CTF - Web安全賽題深入解析

Contents

從程式碼層面連接安全漏洞背後的原理，從而掌握防禦方法。

從這 10 小時的課程，你會學到

檔案上傳安全漏洞利用與防禦
XXE、SSRF 安全漏洞利用與防禦
命令執行安全漏洞利用與防禦
Python 安全工具開發基礎

要求

無需程式編輯經驗

課程說明

CTF（Capture The Flag，奪旗賽）起源於 1996 年 DEFCON 全球駭客大會，是網路安全愛好者之間的競技遊戲。

CTF 競賽涉及眾多領域，內容繁雜。與此同時，安全技術的發展速度越來越快，CTF 題目的難度越來越高，初學者面對的門檻越來越高。而網上資料大都零散瑣碎，初學者往往並不知道該如何系統性地學習 CTF 相關領域知識，常需要花費大量時間，苦不堪言。

世界各地的網站都是使用各種程式語言進行編程的。雖然開發人員應該注意每種程式語言中都存在特定的漏洞，但無論選擇何種語言或框架，都可能會出現一些網際網路的基本問題。

這些漏洞通常作為網路安全挑戰出現在 CTF 中，用戶需要利用錯誤來獲得某種更高級別的權限。

CTF 挑戰中常見的漏洞：

SQL注入
命令注入
目錄遍歷
跨站請求偽造
跨站腳本
伺服器端請求偽造

隨著 WEB 2.0、社交網絡、微博等等一系列新型的網際網路產品的誕生，基於 WEB 環境的網際網路應用越來越廣泛，企業資訊化的過程中各種應用都架設在 WEB 平台上，WEB 業務的迅速發展也引起駭客們的強烈關注，接踵而至的就是 WEB 安全威脅的凸顯，駭客利用網站作業系統的漏洞和 WEB 服務程式的漏洞得到 WEB 伺服器的控制權限，輕則篡改網頁內容，重則竊取重要內部資料，更為嚴重的則是在網頁中植入惡意代碼，使得網站訪問者受到侵害。

在 CTF 競賽中，WEB 也是佔比重很大的一個方向之一，WEB 類的題目種類繁多，知識點細碎，時效性強，能緊跟時下熱點漏洞，貼近實戰。

WEB 類的題目包括但不限於：SQL 注入、XSS 跨站腳本、CSRF 跨站請求偽造、檔案上傳、檔案包含、框架安全、PHP 常見漏洞、代碼審計等。

課程中涵蓋了部分 CTF Web 賽題原理，通過學習，能夠在一定程度上提高自己的安全技術。

目標受眾

對CTF Web安全感興趣的人員。

講師簡介

Liuxiaoyang Liu 匿名安全研究員

多年滲透測試實戰經驗，目前就職於某大型網路安全公司，從事安全研究工作。個人擅長 Web 安全、程式碼審計、內網滲透，目前更多精力在於紅藍對抗。在上學期間，多此參加大型CTF比賽，並取得考前排名。

課程中使用直白的語言，通過實驗的方式進行演示，幫助你能夠從原理到實踐快速掌握對應的知識。涉及的內容都是工作中會經常使用的，希望課程的講解能夠幫助你答疑解惑，提陞技術。

以中文講課

點選這個✨優惠連結✨ 課程特價 | Udemy 永久擁有課程 NT330 起( 在電腦瀏覽器登入，點選“優惠連結”後再回想要的課程介紹中點選“報名參加課程”即可取得）
Udemy 現在越來越多課程有中文字幕，請參考 Soft & Share 中文線上課程
手機上點選優惠連結看到的價格比電腦上看到的貴
＄代表當地貨幣, 如在台灣為 NT
點選”報名參加課程”有可能因瀏覽器 cookies 轉久一點或回報錯誤而無法連上，請稍等刷新或重新點選就會出現