渗透测试／Web安全／信息收集

适合人群：①Web安全工程师 ②网络安全工程师 ③渗透测试工程师 ④软件开发工程师 ⑤安全运维工程师 6⃣️小白学完本课程，您将掌握：掌握信息收集的思路、原理、工具，以及域名、真实IP、C段、旁站、指纹、敏感目录、端口等信息收集信息收集作为渗透测试、漏洞挖掘的准备工作，是必不可少的，充分的信息收集可以帮助白帽子扩大攻击面、提高挖洞效率，此次课程主要内容有：    1、域名信息收集    2、真实IP查询    3、子域名探测    4、旁站／C段    5、目标站点指纹信息    6、敏感目录文件    7、端口扫描课程干货分享常见问题： 问：课程如何提供服务？答：1、私信我 2、课程提问 3、加入课程上方的交流微信群问：课程提供试验环境吗？答：100%完全提供，资料中可以下载

缓冲区溢出-CTF-PWN

SSRF服务器端请求伪造漏洞精讲+实验

程声明：该课程是教学使用，视频内涉及漏洞利用方法，请勿在互联网环境中使用；维护互联网安全，人人有责。实验所需环境：vmware；kali虚拟机一台；windows server一台；有docker环境的Linux虚拟机环境下载地址在购买课程后单独发送 【课程配套资源】1、Python脚本（Margin老师自研，不光能学漏洞，还能学Python，实在是划算）2、与Margin老师实时互动3、免费的CISP-PTE考试技巧指导（Margin老师与CISP-PTE的负责人很熟的，非常多的一手消息^o^）4、Margin老师的内部直播可以优先参加5、Margin老师的课程基于CISP-PTE的知识体系进一步扩展，使课程内容更贴近实战   【课程主要解决问题】1、CSRF、SSRF搞不清楚？2、SSRF原理是什么？危害大小？如何利用SSRF获取主机权限？如果使用Python提高挖洞效率？3、Gopher协议、Dict协议？完全没听过啊，没关系，看完课程后你门清。4、SSRF渗透Redis数据库，Redis客户端和服务器端怎么通信？通信报文是怎么样的？看这里就行。5、SSRF渗透Struts2总是失败？不知道如何编码？不知道如何使用Gopher协议？来这里。6、SSRF表面简单，实则有无数坑，通过视频提高学习效率吧。 【CISP-PTE介绍】1、CISP-PTE是进入网络安全行业的TOP1认证，能帮你梳理完整的网络安全知识体系2、有PTE证书在网络安全公司是免技术笔试的，怎么样？是不是很棒。3、Margin老师的课程基于CISP-PTE的知识体系进一步扩展，使课程内容更贴近实战本课程属于CISP-PTE渗透测试工程师认证体系的课程，但内容更加丰富。CISP-PTE是国内第一个以动手实操为主的网络安全认证，该注册考试是为了锻炼考生世界解决网络安全问题的能力，持续增强我国的网络安全水平和防御能力，促进国内网络防御能力的不断提高。考试内容从多个层面进行，考点和网络安全动态相结合，真实的反应出真实的网络环境中发现的各种问题。如果要考取CISP-PTE证书需要掌握以下内容：1、Web安全基础，注入漏洞、上传漏洞、跨站脚本漏洞、访问控制漏洞、会话管理漏洞哦等。2、中间件的安全知识，如：Apache,IIS,Tomcat,以及 JAVA 开发的中间件 Weblogic,Jboss, Websphere 等，且要了解中间件加固方法，在攻与防的能力上不断提升。3、操作系统安全，包含Windows和Linux操作系统，从账户管理、文件系统权限、日志审计等方面讲解，了解常见的漏洞方式和加固方法。4、数据库安全，包含MSSQL、MYSQL、ORACLE、REDIS数据，了解常用的数据库漏洞和题全方法，保证数据库的安全性。 【关于Margin老师】· Margin／教育系统网络安全保障人员认证首批讲师／高级讲师· 擅长CTF／Web安全／渗透测试 ／系统安全· 3年研发／擅长Java／Python／某银行现金循环机业务系统开发者· 曾参与开发网络安全认证教材· 知乎专栏／CISP-PTE渗透测试工程师学习· 4年线下网络安全讲师／2000+线下学员／100000+线上学员

数据库安全（实战掌握数据库安全风险以及防御策略）

实验环境下载地址在购买后单独发送可以随时与讲师交流互动通过讲解SQL Server、MySQL、Oracle、Redis的安全问题，学习数据库的漏洞原理以及加固方式。第一章SQL Server：详细讲解SQL Server的角色权限、安全控制、安全性问题、权限管理、数据备份，通过实操渗透数据库获取系统管理员权限的三种方法（xp_cmdshell、sp_oacreate、沙盒提权）。第二章MySQL：详解讲解MySQL的用户管理、权限管理、访问控制、安全配置，通过实操UDF提权获取服务器管理员权限。第三章Oracle：详细讲解Oracle数据安全控制机制、用户管理和身份认证、用户权限和角色、安全配置。第三章Redis：详细讲解Redis的优缺点、安全风险、安全加固，通过实操Redis漏洞获取系统管理员权限。

渗透测试工程师CISP-PTE认证体系解读

XSS跨站脚本漏洞精讲／原理／绕过／防御

课程声明：该课程是教学使用，视频内涉及漏洞利用方法，请勿在互联网环境中使用；维护互联网安全，人人有责。 课程说明：课程为CISP-PTE子课程。 课程目标：让开发工程师、运维工程师、安全工程师迅速构建XSS漏洞的知识体系 实验所需环境：vmware；kali虚拟机一台；windows server一台；下载地址在课程资料中。 课程主要解决问题：      1、搞明白什么是XSS，XSS有几个分类，分类的依据是什么？      2、XSS能做什么事情？通过实验学习盗cookie、点击劫持、获取目标主机信息、键盘记录器、内网探测、    XSS-DDoS等等      3、搞明白XSS的漏洞代码到底是什么样？逐行读代码让你看透XSS。      4、XSS如何绕过？近20种绕过方式让你酣畅淋漓。      5、搞懂XSS的防御方法，不同种类的XSS防御有什么区别？       如果有以上困惑，赶紧学习吧。Margin老师工作日一般都是30分钟就能为你解答疑惑。

CSRF跨站请求伪造漏洞原理及代码审计

课程声明：该课程是教学使用，视频内涉及漏洞利用方法，请勿在互联网环境中使用；维护互联网网络安全，人人有责。课程说明：课程为CISP-PTE子课程。实验所需环境：vmware；windows server一台；环境下载地址：实验环境下载地址在购买后单独发送课程主要解决问题：1、搞明白什么是，CSRFSRF能做什么事情？2、CSRF和XSS有什么区别？3、搞明白CSRF的漏洞代码到底是什么样？逐行读代码让你看透CSRF。4、搞懂CSRF的防御方法。 如果有以上困惑赶紧学习吧，Margin老师工作日一般都是30分钟就能为你解答疑惑，沟通无延时、无障碍。

Web安全-文件包含漏洞

文件包含漏洞是一种最常见的漏洞类型，它会影响依赖于脚本运行时的web应用程序。当应用程序使用黑客控制的变量构建可执行代码的路径时，文件包含漏洞会导致黑客任意控制运行时执行的文件。       文件包含漏洞分为本地文件包含(Loacl File Inclusion,LFI)和远程文件包含(Remote File Inclusion,RFI)。这种漏洞貌不惊人，却危害很大。通过文件包含漏洞，可以读取系统中的敏感文件，源代码文件等，如密码文件，通过对密码文件进行暴力破解。若破解成功则可获取操作系统的用户账户，甚至可通过开放的远程连接服务进行连接控制。另外不管是本地文件包含还是远程文件包含，文件包含漏洞还可能导致执行任意代码。      本节课程通过代码讲解文件包含漏洞的实战，深入理解文件包含漏洞的原理。

文件上传漏洞绕过及代码审计

Web安全-SQL注入精讲／原理／实战／绕过／防御

1小时搞定Linux系统安全知识体系

知识共分为3个部分：     1、账户安全、文件系统安全、日志分析，主要讲解：用户组概念（账户的概念、用户信息／组信息、账户认证方式、账户访问权限分配、特殊权限）     2、账户风险与安全策略（特殊用户排查、账号密码生命周期、密码强度、用户锁定、umask安全配置、重要目录权限、查看未授权的SGID／SUID、syslog登录事件、history时间戳、登录超时、限制登录、修改SSH端口、使用防火墙）     3、Linux文件系统安全（Linux文件系统、文件系统类型、文件和目录安全、目录权限设置）     4、日志分析（Linux日志、系统热值的分类、日志文件工具、日志分析工具、日志格式、日志分析）