现代业务下的WEB架构安全研发指南--掘金小册课程推荐/优惠
面向研发同学的WEB安全指南,深入了解现代WEB架构下各类安全问题
17讲 | 71人已学习
优惠价¥69.9
官网优惠购买
版权声明
本站非掘金小册官网,与官方无任何关系。我们不提供课程下载或详细内容,仅作为课程分享和推荐平台。我们鼓励大家支持正版,尊重创作者的劳动成果,这样不仅能帮助创作者持续产出优质内容,也能让自己获得更好的学习体验。请通过官方渠道购买和学习课程,感谢您的理解与支持。
课程详情
课程介绍
作者介绍
银空飞羽,从事甲方安全建设工作,曾负责某SRC(安全应急响应中心)整体运营,现在某一线互联网大厂。偶尔运营个人公众号:飞羽技术工坊。
掘金个人主页:https://juejin.cn/user/1086796427178429
小册介绍
随着国家对网络安全要求的不断提高,企业安全团队在代码评审、测试、上线等环节都加强了安全检查。但漏洞就像野草,总是除之不尽。更让人头疼的是,每次漏洞修复都要打乱原有的开发节奏。作为研发人员的你,是否也厌倦了被安全团队追着修漏洞的日子?
安全问题的根源在于代码,而代码出自开发者之手。与其被动修复,不如主动预防,这正是编写这本小册的初衷。
因此作者结合自身真实工作经验,聚焦于现代WEB架构下的安全问题,编写该小册希望可以让你接触到:
- 漏洞修复:聚焦主流 WEB 架构下的安全问题,包括前后端漏洞、业务逻辑漏洞等
- 案例复现:结合真实漏洞利用思路手法,通过模拟漏洞场景,直观感受漏洞的危害
- 安全编码: 直击漏洞根源,从代码层面分析问题,总结预防方案,养成安全开发习惯
- 意识提升:学会以攻击者的视角审视代码,提前发现潜在风险
小册都将是作者以往工作中真实经验总结,围绕当前主流WEB技术的安全问题,结合真实业务场景,而非传统的烂大街理论,会讲解漏洞现实利用不同方式来科普漏洞的危害,打开大家的安全思路,带大家去思考为什么这是不安全的,而什么是安全的,具体应该怎么做才是真正无安全隐患的。
大多数篇章中,都会详细的讲解漏洞,同时也会开发出模拟真实漏洞场景的demo去研究危害,复现漏洞,最终会对代码进行分析,并完成漏洞修复,同时会总结多角度的预防方案。
小册大纲
小册共分为三大部分 (五大篇章) ,分别是
- 扫盲篇: 普及当前企业视角下的漏洞知识
- 漏洞篇: 围绕前端、后端以及业务逻辑进行主流漏洞讲解,以实际案例进行利用复现并修复
- 规范篇: 讲解当下常见的提高安全能力的手段
你会学到什么?
- 提高编码安全意识:增强对漏洞的源头认知,从研发阶段减少安全隐患
- 深化安全知识理解:结合实际业务案例,通过代码模拟,剖析漏洞成因、利用复现及修复方案
- 激发安全领域兴趣:掌握常见漏洞挖掘技巧,可以尝试提交漏洞到企业 SRC,实现技能变现
适宜人群
- 研发工程师 : 无论你是新手还是资深,这本小册将系统性地填补你的安全知识盲区,提升代码安全水位
- 在校学生: 在技术栈学习之初打好安全基础,显著提升求职竞争力,项目作品更具专业性和安全性
- 安全爱好者: 了解漏洞如何从代码中产生,学习漏洞有哪些利用思路,为漏洞挖掘积累知识
- 技术团队负责人: 系统性提升团队的安全意识和基础安全能力,降低项目整体风险
- 个人开发者: 在没有专职安全人员的情况下,为自己和产品构建基本的安全防护能力
课程目录(更新中)
- 前言
- 扫盲篇:企业安全视角下的安全漏洞
- 前端篇:前端信息泄露
- 前端篇:跨站脚本(XSS)
- 前端篇:跨站请求伪造(CSRF)
- 前端篇:CORS策略绕过
- 前端篇:JSONP劫持
- 前端篇:浏览器安全策略
- 后端篇:远程命令执行(RCE)
- 后端篇:服务端请求伪造(SSRF)
- 后端篇:业务拒绝服务
- 后端篇:SQL注入
- 后端篇:URL重定向
- 后端篇:条件竞争
- 后端篇:XML外部实体注入(XXE)
- 逻辑篇:未授权访问
- 后端篇:文件上传风险
作者介绍
安全工程师,公众号:飞羽技术工坊
白天安全建设,晚上全栈开发,大模型爱好者。公众号:飞羽技术工坊。