在如今的时代，Web 应用已成为人们不可或缺的工具，大量的敏感信息与金钱都在网上进行流动，使得 Web 安全极为的重要。

实验楼推出的【Kali 渗透测试 - Web 应用攻击实战】课程将使用渗透测试技术教大家如何去攻击一家网站，并针对找出的跨站脚本XSS、SQL注入、文件包含等安全漏洞，都提供了如何避免的解决方案。

该课程是国内首个完全在线实验的Kali渗透测试Web应用方向的培训课程，由实验楼与多年信息安全经验的工程师一起制作了20个实验内容。不仅拥有丰富的基础理论和攻击代码讲解，让你掌握具体的实现原理，而且为每一步操作都配了详细截图，保证新手也能跟随文档完成学习。

课程介绍

Kali 的教程网上有很多，但缺少系统化的在线实验课程，所以我们策划制作了 Kali 渗透测试系列训练营（共5部，68个实验），本课程为第1部，20个实验带你亲身体验 Kali 攻击服务器的魅力，针对 FTP，Tomcat，NFS，VNC，Samba，SSH服务的安全漏洞， 使用 Nmap 及 Metasploit 等安全工具进行渗透测试。与其他教程主要的不同点：

• 提供在线实验环境，保证可以 完全在线完成所有实验，省去本地搭建环境的繁琐；
• 提供课程答疑服务，实验中遇到的问题都可以获得工程师解答；
• 实验步骤尽可能的详细，提供每个步骤的详细截图，让零基础的新手也可以动手完成；
• 理论与实践结合，不只是使用工具攻击，还会介绍漏洞攻击原理及攻击模块实现代码；

实验环境

实验环境中攻击机使用的是 Kali 虚拟机，系统为最新版2.0-201602，另外提供一台有多种漏洞的 Linux 实验机做为靶机。部分实验过程中的截图。

Metasploit 启动截图

此处输入图片的描述

DVWA提供的反射型 XSS 的攻击平台

dvwa-reflected.png

弹出facebook登录获取帐号密码

beef-pretty-facebook.png

实验列表

• 实验1：Web 渗透测试实验说明

  • Kali Linux 的简介
  • web 渗透的简介
  • Kali Linux 的搭建与部署
  • Metasploitable2 靶机的了解
  • 学习实验楼提供的多机实验环境如何使用
  • 尝试简单的命令注入

• 实验2：发现 Web 漏洞的方法

  • 渗透测试的流程确定目标
  • 信息采集
  • 漏洞扫描
  • 漏洞验证
  • 权限维持
  • 文档记录

• 实验3：BeEF 攻击实战

  • BeEF 的大体实现结构
  • BeEF 的所属攻击类型
  • BeEF 的网页源码窃取
  • BeEF 的弹窗提示
  • BeEF 的钓鱼登陆窃密实现

• 实验4：反射型跨站脚本（XSS）攻击

  • 反射型 XSS 的简介
  • 反射型 XSS 的实现
  • 反射型 XSS 的防范

• 实验5：存储型跨站脚本（XSS）攻击

  • 存储型 XSS 简介
  • 存储型 XSS 的简单实验
  • 存储型 XSS 的中间人攻击

• 实验6：SQL注入

  • SQL 注入简介
  • SQL 注入初试
  • SQL 注入防范

• 实验7：SQL注入（Blind）

  • SQL 盲注简介
  • SQL 盲注之延时注入
  • SQL 注入利器 sqlmal 的初步使用

• 实验8：本地文件包含

  • 本地包含简介
  • 本地包含尝试
  • 本地包含防范

• 实验9：远程文件包含

• 实验10：Metasploit 渗透攻击 Web 服务

• 实验11：Web 弱密码暴力破解

• 实验12：跨站请求伪造（CSRF）

• 实验13：命令注入攻击

• 实验14：验证码安全问题

• 实验15：拒绝服务攻击（DoS）

• 实验16：Ajax 安全问题

• 实验17：Web 会话劫持

• 实验18：HTTP Header 攻击

• 实验19：WebShell 访问后门

• 实验20：如何避免 Web 安全漏洞

关于该课程的详细介绍，以及课程文档，点击【Kali 渗透测试 - Web 应用攻击实战】即可开始查看并学习了~