1、了解http协议的基础知识

2、掌握http协议在实际工作中的使用

3、掌握注入漏洞相关知识以及相关的漏洞修复方法

4、掌握XSS漏洞的多种形式和防御方法

5、掌握请求伪造漏洞的危害和相应的检测方法

6、掌握文件处理漏洞的分类和代码审计方法

7、掌握访问控制漏洞的分类和漏洞防御方法

8、掌握会话管理漏洞的特性和防护方法

http协议

http请求方法

http1.0的请求方法 新增的请求方法

http状态码

http状态码的分类  http状态码的含义

http协议响应头信息

http响应头的类型  http响应头的含义

http协议的url

url定义  url格式

注入漏洞

SQL注入

sql注入概念  sql注入漏洞类型  sql注入漏洞安全防护

XML注入

XML注入的概念  XML注入漏洞检测与防护

代码注入

原创文件包含漏洞  本地文件包含漏洞  命令执行漏洞

XSS漏洞

存储式XSS

存储式XSS的概念  存储式XSS的检测  存储式XSS的安全防护

反射式XSS

反射式XSS的概念  反射式XSS的利用与修复

DOM式XSS

DOM式CSS特征  DOM式XSS的防御

请求伪造漏洞

SSRF漏洞

服务端请求伪造漏洞概念  服务端请求漏洞的检测与防御

CSRF漏洞

跨站请求伪造漏洞概念  跨站请求漏洞的危害与防御

文件处理漏洞

任意文件上传

文件上传漏洞的原理与分析  文件上传漏洞的检测与防范

任意文件下载

文件下载漏洞的原理与分析  文件下载漏洞的检测与防范

访问控制漏洞

横向越权漏洞

横向越权漏洞的概念  横向越权漏洞的检测与防范

垂直越权漏洞

垂直越权漏洞的概念  垂直越权漏洞的检测与防范

会话管理漏洞

会话劫持

会话劫持漏洞的概念与原理 会话劫持漏洞的基本防御方法

会话固定

会话固定漏洞的概念与原理 会话固定漏洞的基本防御方法

用到的工具

Burpsuite-用java做的抓包工具，可以在任意操作系统运行

Fiddler-windows下的抓包工具，相对于Burpsuite使用简单

Sqlmap-sql注入工具

DVWA-搜集了各类漏洞的网站环境

虚拟机-装有DVWA等环境的机器