网盘资源商城
首页全部资源计算机安全 › OWASP ZAP渗透测试与漏洞挖掘实战 (英文课程中文字幕)
OWASP ZAP渗透测试与漏洞挖掘实战 (英文课程中文字幕)
OWASP ZAP渗透测试与漏洞挖掘实战 (英文课程中文字幕)OWASP ZAP渗透测试与漏洞挖掘实战 (英文课程中文字幕)OWASP ZAP渗透测试与漏洞挖掘实战 (英文课程中文字幕)OWASP ZAP渗透测试与漏洞挖掘实战 (英文课程中文字幕)OWASP ZAP渗透测试与漏洞挖掘实战 (英文课程中文字幕)
视频课程 计算机安全

OWASP ZAP渗透测试与漏洞挖掘实战 (英文课程中文字幕)

¥5.00 已售 0
✓ 自动发货 ✓ 永久有效 ✓ 售后保障
立即购买

资源介绍

视频数量:20个 总时长:1小时27分 课程介绍: OWASP ZAP渗透测试与漏洞挖掘实战 你有没有想过,那些安全研究员是怎么发现网站漏洞的?他们是怎么在浩如烟海的网页中找出那些可以被利用的弱点的?如果你对Web安全感兴趣,或者想尝试做漏洞挖掘和渗透测试,那么OWASP ZAP一定是你的入门利器。 这是一门完全免费的实操课程,整个课程只有不到九十分钟,但每一分钟都在教你真正有用的东西。老师不是照本宣科地讲概念,而是直接打开工具界面,手把手带你一步步操作。你会看到他在ZAP里设置扫描范围、拦截请求包、修改参数、测试漏洞——整个渗透测试的流程,他都会带着你走一遍。 课程从最基础的界面介绍开始。很多新手第一次打开ZAP的时候,看到一堆按钮和菜单,完全不知道从哪儿下手。老师会告诉你,ZAP有四种工作模式:安全模式、受保护模式、标准模式和攻击模式。安全模式会禁止所有潜在危险的操作,比如自动扫描;攻击模式则会主动扫描所有在范围内的目标,一发现新链接就立刻探测。这意味着什么?意味着你在测试自己搭建的靶场环境时,可以选择攻击模式让它全力输出;在真实项目中做安全检测时,切到受保护模式防止误伤生产系统。理解了这几种模式的区别,你才算真正会用这个工具。 上下文是ZAP里一个非常重要的概念,很多人觉得它复杂,其实用起来特别简单。你可以把一个Web应用添加到一个上下文里,然后为这个上下文设置单独的范围、身份验证方式、会话管理规则,甚至访问控制权限。比如你要测试一个需要登录的系统,你可以在上下文里配置好登录表单的路径和参数,创建测试账号,这样ZAP就能自动维护会话,带着身份去扫描那些需要权限才能访问的页面。这个功能在做授权渗透测试的时候特别有用,能帮你发现那些普通用户不该看到但却能访问到的敏感页面,也就是越权漏洞。 自动化扫描是ZAP的核心功能。老师会演示怎么配置扫描策略、选择扫描的强度和范围。你会学到什么时候该用主动扫描,什么时候该用被动扫描。主动扫描会向目标发送大量的测试请求来探测漏洞,速度快但动静大;被动扫描只分析你已经访问过的页面流量,隐蔽性好但覆盖率低。真正做项目的时候,你需要根据情况灵活选择,甚至两种方式结合使用。 模糊测试是发现隐藏漏洞的杀手锏。课程会教你用ZAP内置的模糊测试功能,把测试载荷发送到表单参数、URL路径、请求头等位置,然后观察服务器的响应。举个例子,你在登录框的用户名输入框里输入一堆特殊字符,ZAP会自动生成一个包含各种SQL注入Payload、XSS攻击代码和边界值测试的数据集,让你在几分钟内完成原来可能需要手动测试几个小时的工 作。 目录暴力破解也是一个实用技能。很多Web应用的后台管理界面、备份文件、敏感接口并没有在前端导航中暴露,但它们确实存在,而且往往没有任何访问控制。ZAP可以调用字典文件,对目标网站进行大规模目录探测,快速找到那些隐藏的管理后台或者配置文件。你甚至可以根据返回的状态码和响应内容来判断哪些路径值得进一步探索。 插件系统是ZAP的另一个亮点。基础版ZAP的功能已经很强大了,但通过安装社区开发的插件,你可以扩展出更多能力。课程会介绍几个实用的插件,比如专门用来检测某类漏洞的扫描规则集,或者能增强爬虫能力的扩展工具。 学完这些功能模块之后,课程安排了一个模拟渗透测试环节,把前面学到的所有技术串起来。老师会带你完整地走一遍渗透测试的流程:从信息收集、范围界定,到漏洞探测、漏洞利用,再到报告整理。你会发现,ZAP在这个流程的每个环节都能派上用场,而不是只能在某一个阶段使用。 课程还专门花了不少篇幅讲越权访问漏洞的自动化检测。越权漏洞是现在Web应用中最常见也最危险的问题之一,很多中等规模的互联网公司都栽在这种漏洞上。老师会演示怎么利用ZAP的访问控制测试功能,自动检查系统是否存在横向越权或者纵向越权的问题。这个实战案例非常宝贵,因为在公开的资料里,这类自动化检测的方法很少有人讲。 如果你还在纠结该用ZAP还是Burp Suite,课程最后有个专题专门对比这两个工具,列出了ZAP的五个明显优势。老师不是要贬低Burp Suite,而是客观分析不同场景下哪个工具更合适。ZAP是开源免费的,安装配置简单,对新手极度友好,而且和CI/CD流水线集成起来非常方便,这些都是它在实际工作中越来越受欢迎的原因。 这门课适合什么人呢?如果你对Web安全完全零基础,想找一条相对平坦的入门路径,这门课能让你在最短的时间里建立起对渗透测试的基本认知。如果你本身就是开发人员,想转行做安全测试,这门课能帮你快速补充实战技能。如果你想参与漏洞赏金项目或者SRC众测,这门课教的那些手动探测技巧和自动化工具使用经验会直接派上用场。 学完这门课,你至少能独立使用ZAP完成一个中等复杂度的Web应用安全评估。你会知道怎么设计测试策略、怎么配置扫描参数、怎么分析扫描结果、怎么验证发现的漏洞。你掌握的不是某个特定场景的固定套路,而是渗透测试的思维方式和工具使用能力,这些都是可以迁移到各种项目中的硬技能。