Web漏洞挖掘实战

这是一门安全课程，也是一门优雅编码课程。

我们都说，真正优秀的开发者都是大黑客，这句话是真的。厉害的开发人员往往从业务代码不断精进，写到框架层，再写到系统层，这种不断深入的过程即是不断探求原理和创新的过程。而真正的黑客也是如此，他们共同构建了互联网世界的底层。

如果把攻防对抗比作一场战争，Web 渗透、后门技术、横向移动、隧道搭建、权限提升等技术就像排兵布阵，用战术优势不断攻城略地；那么漏洞在攻防中的作用就像核武器，这是一种在硬件装备上的降维打击。在渗透测试之路走到尽头的时候，所有路标都指向了一座新的高山——漏洞挖掘。

漏洞挖掘与安全开发需要大量的知识储备，但是现在大多的课程和学习资料往往都是着眼于某一个知识点去解读，分析的重点往往是漏洞的成因和利用方式。但是对于含金量最高的地方，漏洞挖掘过程以及思考方式，却没有仔细的分解。这就使得我们在学习的过程中，只收获了一个漏洞的利用方式，但是面对主动漏洞挖掘场景以及安全开发时却无能为力。因此，缺乏实战经验成为学习者进一步提高技术能力的瓶颈。网络安全作为一门工程学科，需要的不仅是扎实的理论基础，实战经历同样不可或缺。

基于此，我们邀请到了螣龙安科的创始人王昊天老师，他将带领你直面 2021 OWASP 榜单中最高发的 10 类安全问题。通过真实场景下的案例带你从黑客视角一步步挖掘漏洞，同时又能从工程师视角带你探究漏洞的底层原理，进而对漏洞进行利用，对代码进行优化。最终形成一个完整的闭环！

课程设计

整个专栏共分为以下四个部分：

导读：一讲篇幅介绍安全领域最权威的 OWASP Top 10 榜单，从与上一份榜单的变化出发，让你对 OWASP 的背景和内容有一个宏观的认识，并且总结出“六步法”，让安全知识“学了就能用”。

五类重点安全问题系统讲解：学习几大主流风险种类，它们分别是失效的访问控制、加密失败、注入、不安全的设计以及安全配置错误，它们将各自以一个模块的篇幅详细展开，让你通过一个个生动的场景深入浅出地理解安全问题，在实战中对漏洞加以利用。

其他安全风险串讲：对于榜单中一些次重点的安全问题进行串讲，各占一讲篇幅，定位短小精悍，干货、代码满满。

综合实战：在学完上述所有的漏洞挖掘思想之后，融合实战，结合之前所学的安全思维，构建属于自己的前沿漏洞挖掘与智能攻防系统。