现状

• 勒索软件威胁性日益增强
• 高速率数据采集盒共享会带来极大风险
• API中的漏洞越来越多
• 移动应用相对PC安全性较差

生活中的安全 - 引子

• 为什么登录时要求输入验证码

• 登录网站长时间不操作，为什么session会失效

• 为什么网站不支持一号多登，会顶下来

• 为什么支付之类的接口都是https

• 为什么银行转账操作都是两步确认

为什么是Web安全

web安全测试就是要提供证据表明，在面对敌意盒恶意输入时，web系统应用仍然能够充分第满足它的需求

web安全学习路线

web安全入门

• web基础
• http协议基础
• 靶机环境
• 安全工具

web安全风险

• 绕过客户端
• 验证机制
• 会话管理
• 访问控制
• 跨站风险
• 注入漏洞
• 请求伪造
• 文件上传

web安全测试实践

• 靶机实战
• 互联网漏洞
• 真实攻击手段