【为什么要学习这门课程？】

本课程的主要目标不是执行恶意危害，而是为您提供逐步的指导，以便您可以学习道德白帽、渗透测试和安全态势评估，因为它与web应用程序有关。通过本课程教授的技能，您将了解到许多前沿危害安全技术相关的各种概念。课程包含多媒体教程和动手演示,用户可以适用于真实场景,并且网络安全资深专家奥马尔·桑托斯为感兴趣的人提供了一些关键建议，包括如何成为一个职业道德白帽，或仅仅是跟上不断变化的漏洞威胁，让你或你的客户网络的web应用程序更加安全。

1、通过课程学习帮助您学习道德白帽、渗透测试和安全态势评估，包括危害、分析和减轻web应用程序漏洞的方法，

2、将展示如何为网络应用测试建立一个渗透测试实验室，你将学习如何执行侦察和分析。

3、您将了解如何利用多种漏洞，包括身份验证、会话管理、基于注入的方法、跨站点脚本编写、跨站点请求伪造和它们的加密实现。

【讲师介绍】

 Omar Santos（奥马尔·桑托斯）

—— 思科PSIRT首席工程师、作家

Omar Santos（奥马尔·桑托斯）是思科产品安全事件响应团队(PSIRT)的首席工程师，指导和领导团队工程师和事件经理对安全漏洞进行调查和解决。

桑托斯著有20多本网络安全方面的专著，在全球拥有大量读者，他制作的大量白皮书、文章、安全配置指南等相关内容被大量媒体引用，如《共和报》、《连线》、《ZDNet》、《网络独家新闻》、《TechCrunch》、《财富》、《Ars Technica》等等。同时，他还是网络安全社区的一名活跃成员，他参与很多重要行业的网络安全倡议和标准制定。他还会积极帮助企业、学术机构、州和地方执法机构，提高关键基础设施的安全性。

1、评估你需要知道的一切，以执行道德白帽和渗透测试的web应用程序

2、了解web应用程序协议、HTTP请求/响应、会话管理和cookie、DevOps、云服务、web应用程序框架和Docker容器，以便更好地评估web应用程序的漏洞

3、构建自己的web应用程序实验室进行渗透测试

4、通过几种技术和应用程序对web应用程序进行配置和执行被动和主动侦察

5、利用身份验证和会话管理职责

6、利用并减轻基于注入的命令、SQL和XML漏洞

7、利用和减轻跨站脚本危害(XSS)和跨站请求伪造(CSRF)漏洞

8、利用和减轻密码漏洞

9、理解和测试api以减轻web应用程序危害

10、理解并减轻客户端、HTML5和AJAX的漏洞

11、检查可以利用(并保护)web应用程序漏洞的其他途径

【面向人群】

1、所有开始从事职业白帽和渗透测试工作的网络安全专业人员

2、准备考取CompTIA PenTest+，道德白帽认证(CEH)，危害安全专家认证(OSCP)，以及其他道德白帽认证的人

3、任何想要学习成为道德白帽所需技能的网络安全专业人员，或者想要学习更多关于一般安全渗透测试方法和概念的网络安全专业人员