【小迪安全v2023】学习笔记集合 --- 持续更新

【小迪安全v2023】学习笔记集合 --- 持续更新

        写笔记也两个多月了，现在将所有更新的笔记同步到本篇集合当中，可以直接点击跳转到对应文章查看我的笔记，然后笔记也是写得比较细致的（个人认为），有任何问题可以联系我，共同进步！

        文末会附上我近期花费不少时间收集的【小迪安全v2023】完整版课件 | 资源，帮助大家在学习之路上更近一步！

前四十章内容

小迪安全2023最新版笔记集合--续更_小迪安全笔记-CSDN博客

WEB攻防篇

ASP应用：

041-WEB攻防-ASP应用&HTTP.SYS&短文件&文件解析&Access注入&数据库泄露

PHP应用：

042-WEB攻防-PHP应用&MySQL架构&SQL注入&跨库查询&文件读写&权限操作

043-WEB攻防-PHP应用&SQL注入&符号拼接&请求方法&HTTP头&JSON&编码类

044-WEB攻防-PHP应用&SQL盲注&布尔回显&延时判断&报错处理&增删改查方式

045-WEB攻防-PHP应用&SQL二次注入&堆叠注入&DNS带外注入&功能点&黑白盒条件

047-WEB攻防-PHP应用&文件上传&函数缺陷&条件竞争&二次渲染&黑白名单&JS绕过

048-WEB攻防-PHP应用&文件上传&中间件 CVE漏洞&第三方编辑器&已知CMS漏洞

049-WEB攻防-文件上传&存储安全&OSS对象&分站&解析安全&解码还原&目录执行

050-WEB攻防-PHP应用&文件包含&LFI&RFI&伪协议编码算法&无文件利用&黑白盒

051-WEB攻防-前后台功能&文件下载&文件读取&文件删除&目录遍历&目录穿越

060-WEB攻防-PHP反序列化&POP链构造&魔术方法流程&漏洞触发条件&属性修改

061-WEB攻防-PHP反序列化&原生类 TIPS&字符串逃逸&CVE绕过漏洞&属性类型特征

062-WEB攻防-PHP反序列化&CLI框架类&PHPGGC生成器&TP&Yii&Laravel等利用

通用漏洞：

052-WEB攻防-XSS跨站&反射型&存储型&DOM型&标签闭合&输入输出&JS代码解析

053-WEB攻防-XSS跨站&SVG&PDF&Flash&MXSS&UXSS&配合上传&文件添加脚本&盲打&Cookie盗取

054-WEB攻防-XSS跨站&盲打&Cookie盗取&表单劫持&网络钓鱼&溯源分析&项目平台框架

055-WEB攻防-XSS跨站&CSP策略&HttpOnly属性&Filter过滤器&标签闭合&事件触发

056-WEB攻防-CSRF请求伪造&Referer同源&置空&配合XSS&Token值校验&复用删除

057-WEB攻防-SSRF服务端请求&Gopher伪协议&无回显利用&黑白盒挖掘&业务功能点

058-WEB攻防-RCE代码&命令执行&过滤绕过&异或无字符&无回显方案&黑白盒挖掘

059-WEB攻防-XML&XXE&无回显方案&OOB盲注&DTD外部实体&黑白盒挖掘

JS应用：

063-WEB攻防-JS应用&算法逆向&三重断点调试&调用堆栈&BP插件发包&安全结合

064-WEB攻防-JS应用&反调试分析&代码混淆&AST加密还原&本地覆盖&断点条件

065-WEB攻防-JS应用&安全案例&泄露云配置&接口调试&代码逻辑&框架漏洞自检

Java应用：

066-WEB攻防-Java安全&SPEL表达式&SSTI模板注入&XXE&JDBC&MyBatis注入

067-WEB攻防-Java安全&JNDI&RMI&LDAP&五大不安全组件&RCE执行&不出网

068-WEB攻防-Java安全&原生反序列化&SpringBoot攻防&heapdump提取&CVE

069-WEB攻防-Java安全&JWT攻防&Swagger自动化&算法&签名&密钥&Druid泄露

Python应用：

070-WEB攻防-Python安全&SSTI模板注入&Jinja2引擎&利用绕过项目&黑盒检测

071-WEB攻防-Python安全&反序列化利用链&PYC文件反编译&格式化字符串安全

逻辑漏洞：

072-WEB攻防-业务逻辑&水平越权&垂直越权&未授权访问&检测插件&SRC项目

073-WEB攻防-支付逻辑篇&篡改属性值&并发签约&越权盗用&算法溢出&替换对冲

074-WEB攻防-机制验证篇&重定向发送&响应状态码&跳过步骤&验证码回传&枚举

075-WEB攻防-验证码安全篇&接口滥用&插件识别&复用绕过&宏命令填入&滑块类

076-WEB攻防-Fuzz模糊测试篇&JS算法口令&隐藏参数&盲Payload&未知文件目录

077-WEB攻防-业务设计篇&隐私合规检测&URL重定向&资源拒绝服务&配合项目

服务攻防篇

078-服务攻防-数据库安全&Redis&CouchDB&H2database&未授权访问&CVE漏洞

079-服务攻防-中间件安全&IIS&Apache&Tomcat&Nginx&弱口令&不安全配置&CVE

080-服务攻防-中间件安全&HW2023-WPS分析&Weblogic&Jetty&Jenkins&CVE

081-服务攻防-开发框架安全&SpringBoot&Struts2&Laravel&ThinkPHP&CVE复现

082-服务攻防-开发组件安全&Solr搜索&Shiro身份验证&Log4j日志记录&本地CVE环境复现

083-服务攻防-开发组件安全&Jackson&FastJson各版本&XStream&CVE环境复现

084-服务攻防-端口协议&桌面应用&QQ&WPS等RCE&hydra口令猜解&未授权检测

APP攻防篇

085-APP攻防-资产收集篇&反证书检验&XP框架&反代理VPN&数据转发&反模拟器

086-APP攻防-资产收集篇&Frida&HOOK&Xposed&证书提取&单向双向绕过&检测抓包

087-APP攻防-安卓逆向篇&Smail语法&反编译签名重打包&Activity周期&Hook模块

088-APP攻防-安卓逆向篇&JEB反编译断点&动态调试&加密算法还原&逻辑会员绕过

089-APP攻防-安卓逆向篇&LSP模块&HOOK添加技术&绕过检测&算法解密&逻辑验证

090-APP攻防-小程序篇&反编译&外在抓包&主包分包&配置泄露&算法逆向&未授权

API攻防篇

091-WEB攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测

系统安全篇

未完待续。。。

【小迪安全v2023】全套笔记 | 课件 | 视频 | 资源

因为我看到之前很多小伙伴问我要配套资源，当时我的资源其实也是不完整的，只到99天就没了

然后最近快学到云安全了，就花时间去网上收集了【小迪安全v2023】的全套笔记和资源，这里也给大家放个链接，有需要的自取：

https://pan.baidu.com/s/11PsN1VgZgr5h7-v82ivL0A，提取码yyds

然后也在这里做个声明，资料中的所有视频、课件版权归小迪安全官方所有，本人仅做学习整理，不对内容有效性负责。请于 24 小时内删除，任何商业用途与本人无关。

如果有侵权，请联系本人删除！