Web及移动安全教学文档

Web及移动安全教学文档 一、安全动态 1. Linux应急响应工具 常用工具：logcheck、rkhunter、chkrootkit、Lynis 日志分析：重点关注/var/log/secure、/var/log/messages 进程检查：ps、top、lsof、netstat命令组合使用 2. 企业安全建设体系 安全架构设计原则：纵深防御、最小权限、零信任 落地实践要点： 资产发现与分类 漏洞管理系统 安全监控与响应 安全意识培训 3. 应急响应案例 异常现象识别：CPU异常、网络流量异常、未知进程 调查方法：时间线分析、文件完整性检查、内存取证 常见攻击痕迹：隐藏进程、异常计划任务、SSH后门 4. 堡垒机安全 核心功能：账号集中管理、权限控制、操作审计 安全风险：跳板攻击、权限滥用、审计绕过 最佳实践：多因素认证、会话录制、细粒度授权 二、Web安全技术 1. CSRF与XSS组合攻击 攻击场景：通过CSRF触发存储型XSS 防御措施： CSRF Token Content Security Policy 输入输出编码 2. MSSQL注入技术 基础注入：联合查询、报错注入、布尔盲注 高级技术： xp_ cmdshell执行系统命令 差异备份写webshell 链接服务器跨库查询 3. Webshell免杀技术 代码混淆：变量名随机化、字符串编码 函数变形：动态函数调用、反射机制 特征规避：避开敏感函数、使用冷门函数 4. 邮件钓鱼实战 邮件伪造：SPF/DKIM/DMARC绕过 社会工程：紧急事件、权威伪装 附件攻击：恶意文档、快捷方式 三、渗透测试技术 1. 内网探测技术 主机发现：ARP扫描、ICMP探测、端口扫描 服务识别：Nmap脚本、Banner抓取 凭证收集：内存抓取、配置文件提取 2. SQLMap高级用法 文件写入：--file-write/--file-dest 带外通道：DNS/HTTP外带数据 权限提升：UDF提权、存储过程滥用 3. 漏洞挖掘基础 目标分析：资产测绘、技术栈识别 输入点定位：参数、头字段、文件上传 模糊测试：边界值测试、异常输入 四、安全工具使用 1. Legion渗透框架 模块化设计：扫描、爆破、漏洞利用 扩展开发：Python插件接口 报告生成：自动化文档输出 2. SQLMAP API 启动方式：python sqlmapapi.py -s 任务管理：创建、启动、监控 结果获取：JSON格式解析 3. 子域名爆破工具 字典设计：常见前缀、行业术语 并发控制：协程/线程池优化 结果验证：HTTP状态码、内容特征 五、代码审计技术 1. 解密与审计 代码还原：反编译、动态调试 危险函数：system、eval、反序列化 流程跟踪：数据流、控制流分析 2. 安全开发规范 输入验证：白名单、类型检查 输出编码：HTML/URL/JS编码 安全配置：错误处理、权限设置 六、视频课程要点 1. 隐私数据保护 数据分类：PII、敏感数据、业务数据 加密方案：传输层/存储层加密 访问控制：RBAC、ABAC模型 2. 内网渗透技术 横向移动：Pass the Hash、票据传递 权限维持：后门账户、计划任务 痕迹清理：日志篡改、时间戳修改 七、防御措施 1. Web应用防护 WAF规则：SQLi/XSS防护策略 RASP方案：运行时应用自保护 漏洞管理：定期扫描、及时修复 2. 企业安全体系 安全运营中心(SOC)：监控、分析、响应 威胁情报：IOC收集、TTP分析 红蓝对抗：定期演练、持续改进 八、法律合规 1. 网络安全法要求 等级保护：等保2.0标准 日志留存：6个月以上 应急响应：预案制定与演练 2. 漏洞披露规范 负责任披露：厂商沟通时间窗 漏洞验证：最小化测试原则 报告编写：影响范围、复现步骤 附录：参考资源 OWASP Top 10 最新版 MITRE ATT&CK框架 NIST网络安全框架 CIS安全基准 注：所有技术仅限合法授权测试使用，未经授权进行渗透测试属于违法行为。