03-SSRF漏洞基础理论实验

课程声明：该课程是教学使用，视频内涉及漏洞利用方法，请勿在互联网环境中使用；维护互联网安全，人人有责。

实验所需环境：vmware；kali虚拟机一台；windows server一台；有docker环境的Linux虚拟机

环境下载地址：kali：https://www.kali.org/downloads/

【课程配套资源】

1、专有的知乎专栏（每周1-2更，并配有视频讲解，https://zhuanlan.zhihu.com/CISP-PTE）

2、Python脚本（Margin老师自研，不光能学漏洞，还能学Python，实在是划算）

3、免费的CISP-PTE考试技巧指导（Margin老师与CISP-PTE的负责人很熟的，非常多的一手消息^o^）

4、Margin老师的课程基于CISP-PTE的知识体系进一步扩展，使课程内容更贴近实战

5、CISP-PTE全部课程

【课程主要解决问题】

1、CSRF、SSRF搞不清楚？

2、SSRF原理是什么？危害大小？如何利用SSRF获取主机权限？如果使用Python提高挖洞效率？

3、Gopher协议、Dict协议？完全没听过啊，没关系，看完课程后你门清。

4、SSRF渗透Redis数据库，Redis客户端和服务器端怎么通信？通信报文是怎么样的？看这里就行。

5、SSRF渗透Struts2总是失败？不知道如何编码？不知道如何使用Gopher协议？来这里。

6、SSRF表面简单，实则有无数坑，通过视频提高学习效率吧。

【CISP-PTE介绍】

1、CISP-PTE是进入网络安全行业的TOP一认证，能帮你梳理完整的网络安全知识体系

2、有PTE证书在网络安全公司是免技术笔试的，怎么样？是不是很棒。

3、Margin老师的课程基于CISP-PTE的知识体系进一步扩展，使课程内容更贴近实战

本课程属于CISP-PTE渗透测试工程师认证体系的课程，但内容更加丰富。CISP-PTE是国内第一个以动手实操为主的网络安全认证，该注册考试是为了锻炼考生世界解决网络安全问题的能力，持续增强我国的网络安全水平和防御能力，促进国内网络防御能力的不断提高。考试内容从多个层面进行，考点和网络安全动态相结合，真实的反应出真实的网络环境中发现的各种问题。如果要考取CISP-PTE证书需要学习以下内容：1、Web安全基础，注入漏洞、上传漏洞、跨站脚本漏洞、访问控制漏洞、会话管理漏洞哦等。2、中间件的安全知识，如：Apache,IIS,Tomcat,以及 JAVA 开发的中间件 Weblogic,Jboss, Websphere 等，且要了解中间件加固方法，在攻与防的能力上不断提升。3、操作系统安全，包含Windows和Linux操作系统，从账户管理、文件系统权限、日志审计等方面讲解，了解常见的漏洞方式和加固方法。4、数据库安全，包含MSSQL、MYSQL、ORACLE、REDIS数据，了解常用的数据库漏洞和题全方法，保证数据库的安全性。

【关于Margin老师】

· Margin／教育系统网络安全保障人员认证首批讲师／51CTO高级讲师

· 擅长CTF／Web安全／渗透测试 ／系统安全

· 3年研发／擅长Java／Python／某银行现金循环机业务系统研发者

· 曾参与开发网络安全认证教材

· 知乎专栏／CISP-PTE渗透测试工程师学习

· 4年线下网络安全讲师／2000+线下学员／100000+线上学员

· 51CTO中多门线上课程持续占热卖榜一