文件上传-场景

文件上传-漏洞原理

文件上传-上传文件代码函数原理&上传图片拦截

文件上传-漏洞带来的危害有哪些

文件上传-一句话木马

文件上传-后缀客户端验证-JS 禁用&BURP 改包&本地提交

文件上传-后缀黑名单验证-大小写&加空格&符号点&::$DATA

文件上传-后缀白名单验证-MIME 修改&%00 截断&0X00 截断

文件上传-后缀变异性验证-FINECMS 任意文件上传

文件上传-文件头变异验证-验证 MIME

文件上传-二次渲染

文件上传-代码逻辑&&条件竞争

文件上传-格式变异&中间接解析&.HTACCESS

文件上传-如何避免文件上传漏洞

2.6文件包含渗透与防御

• 中间日志包含绕过
  
• PHP 包含读写文件
  
• STRREPLBE 函数绕过
  
• 包含截断绕过 FNM_TBH 函数绕过
  
• 文件包含漏洞防范措施
  

2.7CSRF渗透与防御

• CSRF 漏洞概述及原理;
  
• CSRF 快速拖库攻击还原;
  
• CSRF 管理员密码修改还原;
  
• CSRF 进行地址修改及钓鱼攻击还原;
  
• CSRF 漏洞安全防范
  

2.8 SSRF渗透与防御

• SSRF 原理及寻找方法;
  
• SSRF 攻防实战及防范方法;
  

2.9 XXE渗透与防御

• XXE 基础知识;
  
• XXE CTF 考题
  
• XXE CTF 考题测试以及漏洞修复
  
• XXE 漏洞攻防测试
  

2.10 远程代码执行渗透与防御

• 远程代码执行原理介绍
  
• PHP 远程代码执行常用函数演示
  
• PHP 反序列化原理和案例演示
  
• WEBLOGIC 反序列化攻防过程还原
  
• STRUTS2 命令执行攻防过程还原
  
• JBOSS 反序列化攻防过程还原
  
• 
  远程命令执行漏洞修复

2.11 反序列化渗透与防御

• 反序列化-什么是反序列化操作
  
• 反序列化-为什么会出现安全漏洞
  
• 反序列化-PHP 反序列化漏洞如何发现
  
• 反序列化-PHP 反序列化漏洞如复现
  
• 反序列化-CMS 审计-序列化考点
  
• 反序列化-JAVA 反序列化漏洞发现利用点
  
• 反序列化-JAVA 反序列化考点-真实环境&CTF
  
• 反序列化-JAVA 反序 WEBGOAT&YSOSERIAL&PAYLOAD
  
• 反序列化-如何避免反序列化漏洞
  

2.12 逻辑相关渗透与防御

• 逻辑漏洞概述;?如何挖掘逻辑漏洞；
  
• 交易支付中的逻辑问题；
  
• 密码修改逻辑漏洞；
  
• 个人项目逻辑漏洞分享；
  
• 逻辑漏洞修复；
  

2.13 暴力猜解与防御

• C/S 架构暴力猜解（ 常用网络、系统、数据库、第三方应用密码爆破）* * B/S 架构暴力猜解（ 弱口令）
  
• 【PHP|如何成为一名正义黑客？你应该学习什么？】HYDRA 安装与使用?暴力猜解安全防范
  

• 宁德|如何提升引力魔方的转化率
• 小米科技|2022年初，小米笔记本该如何选择？这些性价比很高
• 显卡|华为系列手机体验如何，只有用过的人才知道，你觉得呢？
• 蓝牙耳机|蓝牙耳机玩腻了，试试静电耳机，看看百元价位如何演绎半千品质
• Win10|Win10家庭版如何启用使用本地组策略
• 零售业|美国选择孤注一掷：2400亿美元投向科技产业，我们应该如何应对
• 飞利浦|如何在 MacOS 和 Windows 上捕捉窗口
• 显卡|RedmiK50电竞版价格预测：2999元起，成为最便宜的骁龙8游戏手机
• path|iOS15.3.1已经更新2天了，体验到底如何？看完用户体验报告再决定
• 高通骁龙|这3款老旗舰跌至2000元以内，别选错，你将成为明智的“捡漏人”