据阿里巴巴公布的数据显示，今年 618 天猫累计下单金额 6982 亿元。与此同时，京东的累计下单金额也高达 2692 亿元。仅仅这两个平台的消费额加起来就近万亿元，这无疑是一个新的记录。

 

但当我们沉浸在低价买到心仪商品的喜悦中时，各大电商平台却遭受着一次又一次的黑产攻击。拿阿里巴巴去年双十一举例，2684 亿交易额的背后，是一天内 22 亿次的黑产攻击。

 

更不用提近几年层出不穷的 Web 安全事件了，比如数据库资料被窃取、删除；服务器遭受入侵，用户帐号被盗；用户资料被修改、被钓鱼、勒索病毒等等，这些都说明了 Web 安全的重要性。

 

其实，早在 PC 崛起之际，Web 就走到了主导市场的地位。从 CS 模式到 BS 模式，随着 Web 应用的各种功能升级，风险也不断增大，毕竟攻防是个不断转换的状态，功能越多就意味着被攻击的可能性越高。

 

对开发者来说，攻击和防护是同一事物的一体两面。熟悉安全攻防技术，才能防患于未然，开发出更加安全的产品和服务，进而提升用户对产品的信任度。

 

但是，Web 安全跟开发不同，无法学一部分就用一部分。它是一个 Web 领域全维度的东西，覆盖的知识面非常广，不仅要求你深入了解网络协议，还要掌握一些前后端代码及数据库的相关知识。

 

这里，分享给你一张 Web 安全攻防要点图，你可以借此梳理核心知识点。

              

这张图出自王昊天，他是螣龙安科创始人兼 CEO，在信息安全行业工作 10 年了，作为国家级网络安全团队负责人，负责过多个超大型网络安全项目，在与 Google、Yahoo、AOL、新华工控等大型公司合作的安全项目中，担任负责人及网络安全顾问。

 

最近，他推出了一门视频课《Web 安全攻防实战》。在课程中，他系统梳理了 Web 安全学习路径，带你掌握常见渗透测试工具的使用方法，深入了解 SQL 注入、XSS、CSRF 等漏洞的底层原理，并通过上手实战，掌握前后端框架及容器安全的攻防技巧。

 

除此之外，还讲解了互联网公司的安全运营策略，真正为我们的业务安全保驾护航，也是非常走心了。这里，推荐给你。

赶上双十一，极客时间做大促，原价¥129 的专栏，新用户现在首单仅 ¥1！

👇👇👇

新人¥1 立即订阅

 

王昊天是谁？

 

上面说过了，他是螣龙安科创始人兼 CEO，对 Web 安全、内网渗透、复杂 APT 渗透、网络武器开发和漏洞利用，有比较深入的研究。

 

曾经担任主架构师负责的项目包括：全网域 WebApp 漏洞扫描及利用框架、面向邮件系统的 Phishing 攻击链、复杂内网环境隐蔽穿透、基于 C 语言开发的高性能高可控隐蔽型 tunnel、基于区块链技术的隐蔽信息传输、基于面向多应用信道的 CASB、基于 Windows NT 内核的文件过滤系统及抗勒索病毒文件保护系统等等。

 

他是如何讲解 Web 安全的？

 

在课程中，他将内容分为三个部分：

 

第一部分，Web 基础技术，讲解 Web 安全相关的前后端、数据库知识，比如 HTML、CSS、JavaScript、Python、MySQL 等等。

 

第二部分，Web 安全攻防实战，他将从两个方面分别讲解，带你由浅入深地掌握 Web 安全的核心技术。

 

从宏观角度看，他的讲解顺序是“网络协议 - 漏洞分类 - 网络安全工具 - 法律法规”。

 

首先，梳理 Web 安全知识的整体脉络，带你掌握其底层原理，比如分析 Get 和 Post 请求中涉及协议的内容，及每一条协议的作用。之后，是协议的恶意利用和由此产生的安全问题，带你了解漏洞产生的原因和对应的防御措施。最后，为帮你更加便捷地进行安全检测，他还会讲解必要的网络安全工具，并简要介绍 Web 安全领域的法律法规。

 

学完这一部分，你会对 Web 安全有一个宏观的认知。

 

接下来，他会按照“后端 - 框架 - 前端 - 容器 - 语言 - 实际业务场景攻击”的顺序，带你深入挖掘每一个安全问题，分析常见安全漏洞，讲解相应防御技巧，包括：文件上传漏洞、注入攻击漏洞、XSS 漏洞、CSRF、容器安全等等。

 

为了帮你理解消化，每个课时都会附带练习的 Docker 形式靶机及漏洞利用代码——不仅搭建好了测试环境，还提供相应的工具供你下载和练习、实际测试课程中学到的所有知识，让你真正做到学以致用。

 

第三部分，互联网公司安全运营，讲解互联网从业者会遇到的业务安全领域问题，既包括一些业务逻辑层的安全，也包括类似钓鱼、用户隐私泄露等，这样一些层次的安全。

 

从安全从业人员、运维人员、开发人员三个角度出发，分别讲述对应身份所要了解的安全问题，及掌握技术的实现方式。

 

总的来说，跟他学完这门课，你会掌握 Web 领域的核心攻防技术、安全维护技术、安全运维技术，并有足够的能力去安全地运维一个以 Web 服务为核心的业务线。

 

11.11 大促

除了以上介绍的专栏，全场「最高价值¥299，最低价值¥39 」的所有优质专栏和视频课，新人都只需1元首单，即刻解锁！

此外，极客时间双十一大促期间，老用户也能享受 全场 5.5 折 的超值价格，以及最高 ¥36 的分享返现。

还有超多大额优惠券和福利活动，快下载「极客时间 App」领取和参与。

*活动仅限11月1日0点-11月15日24点

良心大促，不容错过！

提升自己，才是硬道理！

 

下载 极客时间 App

还有多重好礼等着你

👇点击「阅读原文」，全场首单1元，立即选购！

本文始发于微信公众号（Bypass）：Web 安全漏洞原理与攻防