Web 安全攻防實戰

據阿里巴巴公布的數據顯示，去年 618 天貓累計下單金額 6982 億元。與此同時，京東的累計下單金額也高達 2692 億元。僅僅這兩個平臺的消費額加起來就近萬億元，這無疑是一個新記錄。

但每當大促活動來臨，各大電商平臺還要遭受一次又一次的黑產攻擊。拿阿里巴巴去年雙十一舉例，2684 億交易額的背后，有一天內 22 億次的黑產攻擊。

近幾年 Web 安全事件層出不窮，如數據庫資料被竊取、刪除；服務器遭受入侵，用戶帳號被盜；用戶資料被修改、被釣魚、勒索病毒等，一旦發生，對企業而言都是不小的打擊。

而對開發者來說，攻擊和防護是同一事物的一體兩面。熟悉安全攻防技術，才能防患于未然，開發出更加安全的產品和服務，進而提升用戶對產品的信任度。

但 Web 安全跟開發不同，不能學一部分就用一部分。它是一個 Web 領域全維度的東西，覆蓋的知識面廣，不僅要求我們得深入了解網絡協議，還要掌握一些前后端代碼及數據庫的相關知識。

分享一張 Web 安全攻防要點圖，幫你梳理其核心知識點。

這張圖出自王昊天，螣龍安科創始人兼 CEO，在信息安全行業工作 10 年了，是國家級網絡安全團隊負責人，在與 Google、Yahoo、AOL、新華工控等大廠合作的多個超大型網絡安全項目中都擔任負責人及網絡安全顧問。

所以在得知天哥出了《Web 安全攻防實戰》視頻課的時候，我立馬就去支持了。他通過對 SQL 注入、XSS、CSRF 等漏洞的底層原理分析，加上手把手實戰，帶我們快速掌握前后端框架及容器安全的攻防技巧，還加了不少互聯網公司的安全運營策略，做到真正為我們的業務安全保駕護航，也是非常走心了。

天哥對 Web 安全、內網滲透、復雜 APT 滲透、網絡武器開發和漏洞利用，一直都比較深入的研究。

曾經擔任主架構師負責的項目包括：全網域 WebApp 漏洞掃描及利用框架、面向郵件系統的 Phishing 攻擊鏈、復雜內網環境隱蔽穿透、基于 C 語言開發的高性能高可控隱蔽型 tunnel、基于區塊鏈技術的隱蔽信息傳輸、基于面向多應用信道的 CASB、基于 Windows NT 內核的文件過濾系統及抗勒索病毒文件保護系統等等。

在課程中，他將內容分為三個部分：

第一部分，Web 基礎技術，講解 Web 安全相關的前后端、數據庫知識，比如 HTML、CSS、JavaScript、Python、MySQL 等等。

第二部分，Web 安全攻防實戰，他將從兩個方面分別講解，帶你由淺入深地掌握 Web 安全的核心技術。

他會從“網絡協議 - 漏洞分類 - 網絡安全工具 - 法律法規”和“后端 - 框架 - 前端 - 容器 - 語言 - 實際業務場景攻擊”兩個鏈條帶你深入挖掘每一個安全問題，分析常見安全漏洞，講解相應防御技巧，包括：文件上傳漏洞、注入攻擊漏洞、XSS 漏洞、CSRF、容器安全等等。

第三部分，互聯網公司安全運營，講解互聯網從業者會遇到的業務安全領域問題，既包括一些業務邏輯層的安全，也包括類似釣魚、用戶隱私泄露等，這樣一些層次的安全。

從安全從業人員、運維人員、開發人員三個角度出發，分別講述對應身份所要了解的安全問題，及掌握技術的實現方式。

總的來說，跟他學完這門課，你會掌握 Web 領域的核心攻防技術、安全維護技術、安全運維技術，并有足夠的能力去安全地運維一個以 Web 服務為核心的業務線。

課程上線后圈內口碑一直不錯，不信你看看大綱，是不是干貨滿滿：