根据ISO27001对您的信息安全管理体系进行认证，ISO27001可以给公司好处 引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效。

最近研究源码审计相关知识，会抓起以前开源的CMS漏洞进行研究，昨天偶然看见了这个PHPCMS的漏洞，就准备分析研究一番，最开始本来想直接从源头对代码进行静态分析，但是发现本身对PHPCMS架构不是很熟悉，导致很难定位代码的位置，最后就采用动态调试&静态分析的方式对漏洞的触发进行分析，下面进入正题。 1、漏洞触发代码定位 通过漏洞的POC（/phpcms/index.php?m=member&c=index&a=register&siteid=1 ）判断，漏洞触发点的入口位于/phpcms/modules/member/index.php文件中的register()方法中，在代码中插入一些echo函数，观察输出（见下）的变化。从下面的结果变化可知，img标签的src属性是在执行完下面的get()函数： $user_model_info = $member_input->get($_POST['info']) 后发生变化，因此基本可以确定，漏洞的触发点就是位于这个函数中。   2、定位member_input->get()跟进分析 跟进该函数，该函数位于/phpcms/modules/member/fields/member_input.class.php文件中，此处本来还想故技重施，在该方法中对代码进行插桩，但是发现插桩后的居然无法打印到页面上，没辙（原因望各位大神指点一二），只能对代码进行一行行推敲，先把代码贴上，方便分析： function get($data) { $this->data = $data = trim_script($data); $model_cache = getcache('member_model', 'commons'); $this->db->table_name = $this->db_pre.$model_cache[$this->modelid]['tablename']; $info = array(); $debar_filed = array('catid','title','style','thumb','status','islink','description'); if(is_array($data)) { foreach($data as $field=>$value) { if($data['islink']==1 && !in_array($field,$debar_filed)) continue; $field = safe_replace($field); $name = $this->fields[$field]['name']; $minlength = $this->fields[$field]['minlength']; $maxlength = $this->fields[$field]['maxlength']; $pattern = $this->fields[$field]['pattern']; $errortips = $this->fields[$field]['errortips']; if(empty($errortips)) $errortips = "$name 不符合要求！"; $length = empty($value) ? 0 : strlen($value); if($minlength && $length < $minlength && !$isimport) showmessage("$name 不得少于 $minlength 个字符！"); if (!array_key_exists($field, $this->fields)) showmessage('模型中不存在'.$field.'字段'); if($maxlength && $length > $maxlength && !$isimport) { showmessage("$name 不得超过 $maxlength 个字符！"); } else { str_cut($value, $maxlength); } if($pattern && $length && !preg_match($pattern, $value) && !$isimport) showmessage($errortips); if($this->fields[$field]['isunique'] && $this->db->get_one(array($field=>$value),$field) && ROUTE_A != 'edit') showmessage("$name 的值不得重复！"); $func = $this->fields[$field]['formtype']; if(method_exists($this, $func)) $value = $this->$func($field, $value); $info[$field] = $value; } } return $info; } 代码整体比较容易，可能比较难理解的就是$this->fields这个参数，这个参数是初始化类member_input是插入的，这个参数分析起来比较繁琐，主要是对PHPCMS架构不熟，那就在此走点捷径吧，在1中，直接将初始化完成后的member_input类dump出来，效果还不错，所有的参数都dump到页面上了，下面主要摘取比较重要的$this->fields[$field]，即：【$this->fields["content"]】这个参数，如下所示⤵️： ["content"]=> array(35) { ["fieldid"]=> string(2) "90" ["modelid"]=> string(2) "11" ["siteid"]=> string(1) "1" ["field"]=> string(7) "content" ["name"]=> string(6) "内容" ["tips"]=> string(407) "<div class="content_attr"><label><input name="add_introduce" type="checkbox" value="1" checked>是否截取内容</label><input type="text" name="introcude_length" value="200" size="3">字符至内容摘要 <label><input type='checkbox' name='auto_thumb' value="1" checked>是否获取内容第</label><input type="text" name="auto_thumb_no" value="1" size="2" class="">张图片作为标题图片 </div>" ["css"]=> string(0) "" ["minlength"]=> string(1) "0" ["maxlength"]=> string(6) "999999" ["pattern"]=> string(0) "" ["errortips"]=> string(18) "内容不能为空" ["formtype"]=> string(6) "editor" ["setting"]=> string(199) "array ( 'toolbar' => 'full', 'defaultvalue' => '', 'enablekeylink' => '1', 'replacenum' => '2', 'link_mode' => '0', 'enablesaveimage' => '1', 'height' => '', 'disabled_page' => '0', )" ["formattribute"]=> string(0) "" ["unsetgroupids"]=> string(0) "" ["unsetroleids"]=> string(0) "" ["iscore"]=> string(1) "0" ["issystem"]=> string(1) "0" ["isunique"]=> string(1) "0" ["isbase"]=> string(1) "1" ["issearch"]=> string(1) "0" ["isadd"]=> string(1) "1" ["isfulltext"]=> string(1) "1" ["isposition"]=> string(1) "0" ["listorder"]=> string(2) "13" ["disabled"]=> string(1) "0" ["isomnipotent"]=> string(1) "0" ["toolbar"]=> string(4) "full" ["defaultvalue"]=> string(0) "" ["enablekeylink"]=> string(1) "1" ["replacenum"]=> string(1) "2" ["link_mode"]=> string(1) "0" ["enablesaveimage"]=> string(1) "1" ["height"]=> string(0) "" ["disabled_page"]=> string(1) "0" }   有了上面的参数列表后，理解get()函数的代码就要轻松许多了，分析过程略。结论就是，漏洞的触发函数在倒数6、7两行，单独截个图，如下⤵️： 这里比较重要的是要找出$func这个函数，查查上面的表，找到["formtype"]=>string(6) “editor”，可知$func就是editor()函数，editor函数传入的参数就是上面列出的一长串字符串，和img标签的内容，下面将跟进editor函数，真相好像马上就要大白于天下了。 3、跟进editor函数及后续函数 editor()函数位于/phpcms/modules/member/fields/editor/imput.inc.php文件中，老规矩，先贴出代码： function editor($field, $value) { $setting = string2array($this->fields[$field]['setting']); $enablesaveimage = $setting['enablesaveimage']; if(isset($_POST['spider_img'])) $enablesaveimage = 0; if($enablesaveimage) { $site_setting = string2array($this->site_config['setting']); $watermark_enable = intval($site_setting['watermark_enable']); $value = $this->attachment->download('content', $value, $watermark_enable); } return $value; } 简单阅读代码，发现实际的触发流程发生在$this->attachment->download()函数中，直接跟进这个函数，这个函数位于/phpcms/libs/classes/attachment.class.php中download()函数，源代码有点长，就贴一些关键代码，⤵️ $string = new_stripslashes($value); if(!preg_match_all("/(href|src)=([\"|']?)([^ \"'>]+\.($ext))\\2/i", $string, $matches)) return $value; $remotefileurls = array(); foreach($matches[3] as $matche) { if(strpos($matche, '://') === false) continue; dir_create($uploaddir); $remotefileurls[$matche] = $this->fillurl($matche, $absurl, $basehref); } unset($matches, $string); $remotefileurls = array_unique($remotefileurls); $oldpath = $newpath = array(); foreach($remotefileurls as $k=>$file) { if(strpos($file, '://') === false || strpos($file, $upload_url) !== false) continue; $filename = fileext($file); $file_name = basename($file); $filename = $this->getname($filename); $newfile = $uploaddir.$filename; $upload_func = $this->upload_func; if($upload_func($file, $newfile)) { 代码主要是进行一些正则过滤等等操作，这里真正关键的是代码的最后一行的操作$upload_func($file, $newfile)，其中$this->upload_func = ‘copy’;，写的在明白点就是copy($file, $newfile)，漏洞就是一个copy操作造成的。   来源：freebuf 来源地址：http://www.freebuf.com/vuls/131809.html

    爆款好课TOP榜    选课不愁，看看大家都爱什么课？ 查看课程详情，链接如下：Kali Linux安全测试CTF AWD从入门到成长 CTF从入门到提升 安全应急响应 加密威胁事件检测与响应实践 内网安全 DevOps理念和最佳实践 企业安全测试与实践 安全测试通用漏洞挖掘与防范 HackTheBox实战

【公开课时间】 2021年5月17日（周一）19点30 【课程大纲】 1、安全的现状和零信任的起源，以及零信任的前景 2、认证课程的适用对象 3、课程大纲和考试说明 【参与方式】 1、扫码进群

课程名-章节 C-CCSK- 云计算基础设施安全-1 C-CCSK- 云计算基础设施安全-2 C-CCSK- 云计算基础设施安全-练习题 C-CCSK- 管理云计算安全和风险-1 C-CCSK- 管理云计算安全和风险-2 C-CCSK- 管理云计算安全和风险-3 C-CCSK- 管理云计算安全和风险-4 C-CCSK- 管理云计算安全和风险-5 C-CCSK- 网络安全法重点条款介绍 C-CCSK- 课程背景介绍 C-CCSK- 云架构-1 C-CCSK- 云架构-2 C-CCSK- 云架构-练习题 C-CCSK- 数据安全-1 C-CCSK- 数据安全-2 C-CCSK- 数据安全-练习题 C-CCSK- 保护云应用和用户-1 C-CCSK- 保护云应用和用户-2 C-CCSK- 身份访问管理 C-CCSK- 身份访问管理-练习题 C-CCSK- 选择云服务-1 C-CCSK- 选择云服务-2 C-CCSK- 选择云服务-练习题 C-CCSK- 云计算发展现状 C-CCSK- 云安全的现状 C-CCSK- 云安全标准 C-CCSK- 公有云安全 C-CCSK- 私有云安全（上） C-CCSK- 私有云安全（下） C-CCSK- 练习题串讲 课程观看地址：https://edu.aqniu.com/course/7977   CISM- CISM证书介绍 CISM- 信息安全治理 CISM- 信息风险管理 CISM- 信息安全计划开发和管理 CISM- 信息安全事故管理 课程观看地址：https://edu.aqniu.com/course/8089   CSA STAR CCM云安全管理矩阵详解- 云计算及云安全管理 CSA STAR CCM云安全管理矩阵详解- 应用程序与接口安全-控制域概述 CSA STAR CCM云安全管理矩阵详解- 应用程序与接口安全-应用程序安全 CSA STAR CCM云安全管理矩阵详解- 审计的合规与符合性 CSA STAR CCM云安全管理矩阵详解- 业务连续性管理与操作恢复 CSA STAR CCM云安全管理矩阵详解- 业务连续性管理与操作恢复-2 CSA STAR CCM云安全管理矩阵详解- 控制域 CSA STAR CCM云安全管理矩阵详解- 开发与采购 CSA STAR CCM云安全管理矩阵详解- 外包开发 CSA STAR CCM云安全管理矩阵详解- 质量检测 CSA STAR CCM云安全管理矩阵详解- 未经授权的软件安装 CSA STAR CCM云安全管理矩阵详解- 业务变化 CSA STAR CCM云安全管理矩阵详解- 软件配置管理概念 CSA STAR CCM云安全管理矩阵详解- 软件配置与变更管理过程 CSA STAR CCM云安全管理矩阵详解- 配置管理组织与实施 CSA STAR CCM云安全管理矩阵详解- 审计的合规与符合性-控制域概述 CSA STAR CCM云安全管理矩阵详解- 审计的合规与符合性-审计计划 CSA STAR CCM云安全管理矩阵详解- 审计的合规与符合性-独立审计 CSA STAR CCM云安全管理矩阵详解- 审计的合规与符合性-信息系统框架图 CSA STAR CCM云安全管理矩阵详解- 业务连续性管理与操作恢复-控制域措施 CSA STAR CCM云安全管理矩阵详解- 业务连续性管理与操作恢复-业务连续性计划 CSA STAR CCM云安全管理矩阵详解- 业务连续性管理与操作恢复-业务连续性测试 CSA STAR CCM云安全管理矩阵详解- 业务连续性管理与操作恢复-文档 CSA STAR CCM云安全管理矩阵详解- 业务连续性管理与操作恢复-物理风险 CSA STAR CCM云安全管理矩阵详解- 业务连续性管理与操作恢复-设备位置 CSA STAR CCM云安全管理矩阵详解- 业务连续性管理与操作恢复-设备维护 CSA STAR CCM云安全管理矩阵详解- 业务连续性管理与操作恢复-设备电力故障 CSA STAR CCM云安全管理矩阵详解- 业务连续性管理与操作恢复-影响分析 CSA STAR CCM云安全管理矩阵详解- 业务连续性管理与操作恢复-方针 CSA STAR CCM云安全管理矩阵详解- 业务连续性管理与操作恢复-应急策略 CSA STAR CCM云安全管理矩阵详解- 控制域 CSA STAR CCM云安全管理矩阵详解- 分类 CSA STAR CCM云安全管理矩阵详解- 数据清单 CSA STAR CCM云安全管理矩阵详解- 电子商务交易 CSA STAR CCM云安全管理矩阵详解- 数据处理及标签的安全策略 CSA STAR CCM云安全管理矩阵详解- 不安全的业务数据 课程观看地址：https://edu.aqniu.com/course/7951   DevOps理念与最佳实践- 自动化测试及其应用 DevOps理念与最佳实践- 代码审查和代码测试覆盖率 DevOps理念与最佳实践- 容器技术和docker的使用 DevOps理念与最佳实践- docker的基本操作和应用的启动 DevOps理念与最佳实践- 用Docker封装运行和修改应用 DevOps理念与最佳实践- docker-compose和docker之间应用的访问 DevOps理念与最佳实践- 自定义docker镜像文件挂载和Volume的用法 课程观看地址：https://edu.aqniu.com/course/6733   Hadoop大数据开发入门- Hadoop起源介绍 Hadoop大数据开发入门- Hadoop生态圈介绍 Hadoop大数据开发入门- Hadoop基本组件介绍 Hadoop大数据开发入门- Hadoop组成框架介绍 Hadoop大数据开发入门- Hadoop安装 课程观看地址：https://edu.aqniu.com/course/8091   JAVA-Web安全- 会话安全 JAVA-Web安全- 爆破-验证码-撞库 课程观看地址：https://edu.aqniu.com/course/3740   JAVA开发规范- OPP规约 JAVA开发规范- 集合处理-并发处理 JAVA开发规范- 本地文件操作-文件工具封装 JAVA开发规范- 日期操作 JAVA开发规范- 初识JSP JAVA开发规范- JSP基础 JAVA开发规范- JSP基础-隐士对象-前端请求-后端响应 JAVA开发规范- JSP基础-基础表单处理-过滤器（理论） JAVA开发规范- JSP基础-基础表单处理-过滤器（实践） 课程观看地址：https://edu.aqniu.com/course/7186   Kerberos域安全- Kerberos域安全-前言 Kerberos域安全- kerberos协议 Kerberos域安全- NTLM协议 Kerberos域安全- kerberos测试环境 Kerberos域安全- 域分组 Kerberos域安全- 域信息获取及分析 Kerberos域安全-  pth攻击 Kerberos域安全- Kerberosating攻击 Kerberos域安全- 组策略攻击 Kerberos域安全- acl访问控制链 Kerberos域安全- 定位域管理员位置 课程观看地址：https://edu.aqniu.com/course/8029   linux安全运维- IO复用及nginx事件驱动模型 linux安全运维- nginx优化和安全加固 linux安全运维- SNMP详细讲解 linux安全运维- RRDTool讲解-1 linux安全运维- RRDTool讲解-2 linux安全运维- Cacti高级使用及报警功能安装 linux安全运维- Nagios基本原理和服务端安装 linux安全运维- Nagios安装目录及配置文件讲解 linux安全运维- Cacti-1.1.38讲解及安装 课程观看地址：https://edu.aqniu.com/course/2032   Oracle 11g数据库原理及运维管理- Oracle数据库结构讲解 Oracle 12g数据库原理及运维管理- Oracle数据库对象原理 Oracle 13g数据库原理及运维管理- Oracle11g安装配置管理 Oracle 14g数据库原理及运维管理- Oracle 11g基本运维管理技能 Oracle 15g数据库原理及运维管理- Oracle 11g用户管理 Oracle 16g数据库原理及运维管理- Oracle 11g内存管理 Oracle 17g数据库原理及运维管理- Oracle 11g 表空间管理 Oracle 18g数据库原理及运维管理- Oracle 11g 重做日志管理 Oracle 19g数据库原理及运维管理- Oracle 11g参数及参数文件管理 Oracle 20g数据库原理及运维管理- ASM自动存储管理 Oracle 21g数据库原理及运维管理- 安全审计管理 Oracle 22g数据库原理及运维管理- 备份恢复管理 Oracle 23g数据库原理及运维管理- 备份恢复管理-2 Oracle 24g数据库原理及运维管理- RAC基本概念 Oracle 25g数据库原理及运维管理- RAC安装配置管理 Oracle 26g数据库原理及运维管理- RAC关键对象 Oracle 27g数据库原理及运维管理- Grid五脏六腑 Oracle 28g数据库原理及运维管理- RAC安装配置管理 Oracle 29g数据库原理及运维管理- 理解RAC的关键对象 Oracle 30g数据库原理及运维管理- Grid五脏六腑 Oracle 31g数据库原理及运维管理- RAC集群基本管理 Oracle 32g数据库原理及运维管理- RAC关键对象管理 Oracle 33g数据库原理及运维管理- RAC集群管理利器 课程观看地址：https://edu.aqniu.com/course/6877   Oracle软件在主机平台的应用- oracle体系结构组件概览 Oracle软件在主机平台的应用- 口令文件的管理 Oracle软件在主机平台的应用- 参数文件的管理 Oracle软件在主机平台的应用- 跟踪文件的管理 Oracle软件在主机平台的应用- 数据库的启动和停止 Oracle软件在主机平台的应用- 控制文件的管理 Oracle软件在主机平台的应用- 日志文件的管理 Oracle软件在主机平台的应用- 表空间和数据文件的管理 Oracle软件在主机平台的应用- 存储结构 Oracle软件在主机平台的应用- profile的管理 Oracle软件在主机平台的应用- 审计 Oracle软件在主机平台的应用- oracle网络配置 Oracle软件在主机平台的应用- 备份简介 Oracle软件在主机平台的应用- 逻辑导出和逻辑导入 Oracle软件在主机平台的应用- 数据泵 Oracle软件在主机平台的应用- SQLLOADER Oracle软件在主机平台的应用- 冷备份 Oracle软件在主机平台的应用- 热备份 Oracle软件在主机平台的应用- 不完全恢复 Oracle软件在主机平台的应用- 闪回数据库 Oracle软件在主机平台的应用- rman入门 Oracle软件在主机平台的应用- rman管理 Oracle软件在主机平台的应用- rman进阶 Oracle软件在主机平台的应用- rman综合练习 Oracle软件在主机平台的应用- rman恢复目录数据库 Oracle软件在主机平台的应用- 优化简介 Oracle软件在主机平台的应用- 诊断工具 Oracle软件在主机平台的应用- 内存优化 Oracle软件在主机平台的应用- PGA和排序 Oracle软件在主机平台的应用- 优化存储 Oracle软件在主机平台的应用- 各种表类型 Oracle软件在主机平台的应用- 调整 IO Oracle软件在主机平台的应用- 索引的使用 Oracle软件在主机平台的应用- SQL优化简介 Oracle软件在主机平台的应用- 常用SQL运算方法 Oracle软件在主机平台的应用- 获取SQL执行计划 Oracle软件在主机平台的应用- 统计信息与SQL优化 Oracle软件在主机平台的应用- SQL暗示与基线 课程观看地址：https://edu.aqniu.com/course/7187   OSSIM- OSSIM防火墙 OSSIM- 计划任务 OSSIM- ossim安装与部署 课程观看地址：https://edu.aqniu.com/course/4637   python 信息安全工具开发- Python语言历史 python 信息安全工具开发- Python语言应用 python 信息安全工具开发- Python语言风格 python 信息安全工具开发- Python语言特点 python 信息安全工具开发- Python语言不足 python 信息安全工具开发- Python开发环境 python 信息安全工具开发- Python开发入门 python 信息安全工具开发- Python开发实例 python 信息安全工具开发- Python GUI编程概述-1 python 信息安全工具开发- Python GUI编程概述-2 python 信息安全工具开发- Python Tkinter与主要组件 python 信息安全工具开发- Python Tkinter开发实例 python 信息安全工具开发- Python Turtle库 python 信息安全工具开发- Python Turtle开发实例 python 信息安全工具开发- Python Web编程 python 信息安全工具开发- Python 多线程编程 python 信息安全工具开发- Python 网络编程 python 信息安全工具开发- Python 数据库编程 python 信息安全工具开发- Python爬虫概述 python 信息安全工具开发- Python爬虫BeautifulSoup模块 python 信息安全工具开发- Python爬虫hackhttp模块 python 信息安全工具开发- Python爬虫开发实例 python 信息安全工具开发- Python爆破工具开发 python 信息安全工具开发- Python爆破工具开发（二） python 信息安全工具开发- Python扫描器开发 python 信息安全工具开发- Python字典工具开发 python 信息安全工具开发- Python验证码识别 python 信息安全工具开发- Python编写POC python 信息安全工具开发- Python编写木马 python 信息安全工具开发- Python渗透测试工具集 课程观看地址：https://edu.aqniu.com/course/7979   python安全开发工具实践- 安全第三方类库介绍 python安全开发工具实践- 安全第三方类库介绍-2 python安全开发工具实践- 子域名扫描 python安全开发工具实践- 敏感目录扫描 python安全开发工具实践- 端口和服务指纹扫描 课程观看地址：https://edu.aqniu.com/course/6734   python基础- python类型与运算-文件（二） python基础- python类型与运算-文件（三） python基础- python类型与运算-文件（四） 课程观看地址：https://edu.aqniu.com/course/139   python应用开发- 内置函数实例讲解 python应用开发- 序列化案例讲解 python应用开发- 序列化案例讲解 python应用开发- 正则表达式讲解-1 python应用开发- 正则表达式讲解二 python应用开发- 正则表达式进阶 python应用开发- 正则表达式进阶二 python应用开发- 查缺补漏 课程观看地址：https://edu.aqniu.com/course/6645   安全测试与防御实践- Nexpose漏洞扫描与分析-介绍与安装 安全测试与防御实践- Nexpose漏洞扫描与分析-使用 安全测试与防御实践- Nexpose漏洞扫描与分析-演示 安全测试与防御实践- Nessus介绍和功能特性 安全测试与防御实践- Nessus-安装和使用 安全测试与防御实践- Nessus-功能特性演示 安全测试与防御实践- Burp-安装环境 安全测试与防御实践- Burp-入门使用 安全测试与防御实践- Burp-基本使用 安全测试与防御实践- 用Burp进行Web漏洞扫描与分析-Intercpt的可选项配置 安全测试与防御实践- Burp-综合实践 安全测试与防御实践- Appscan-介绍 安全测试与防御实践- Appscan-优化配置 安全测试与防御实践- Appscan-应用 安全测试与防御实践- SQLMAP-安装 安全测试与防御实践- SQLMAP-深入使用-1 安全测试与防御实践- SQLMAP-深入使用-2 安全测试与防御实践- SQLMAP-深入使用-3 安全测试与防御实践- SQLMAP-深入使用-4 课程观看地址：https://edu.aqniu.com/course/6536   安全基线- Linux-1 安全基线- Linux-2 安全基线- kibana具体安装及后续使用 安全基线-  kiban结合x-pack视图 安全基线- logstash详细使用方式 安全基线- xpack最终 安全基线- 收集httpd 课程观看地址：https://edu.aqniu.com/course/7636   安全数据科学- 异常检测-基础概念和基于概率统计的异常检测 安全数据科学- 关联规则 安全数据科学- 异常检测-基础概念和基于概率统计的异常检测 安全数据科学- 基于邻近度、聚类和分类技术的异常检测 课程观看地址：https://edu.aqniu.com/course/5153   安全运维管理必修课- 27001背景介绍 安全运维管理必修课- 27001新版解析 安全运维管理必修课- 新版内容详解 安全运维管理必修课- 建立ISMS 安全运维管理必修课- 运维安全标准-银行内部风险分类 安全运维管理必修课- 27001建立ISMS 安全运维管理必修课- 27001认证介绍 安全运维管理必修课- 运维安全有关风险标准 安全运维管理必修课- 行政性安全管理制度示例 课程观看地址：https://edu.aqniu.com/course/4502   安卓App安全测试入门- XPosed框架 安卓App安全测试入门- Webview简介 安卓App安全测试入门- Webview应用克隆 安卓App安全测试入门- Allow backup的利用 安卓App安全测试入门- janus漏洞 安卓App安全测试入门- sharedpref任意读写 安卓App安全测试入门- ZipEntry漏洞 安卓App安全测试入门- app通信和web前后端交互 安卓App安全测试入门- 数据加密和完整性签名 安卓App安全测试入门- HTTPS证书 安卓App安全测试入门- 从代码讲逻辑漏洞（一） 安卓App安全测试入门- 代码上讲逻辑漏洞（二） 安卓App安全测试入门- 验证码相关安全问题

课程名-章节   安卓App安全测试入门- 重放攻击 安卓App安全测试入门- sql注入和接口编写 安卓App安全测试入门- sql注入原理和绕过 安卓App安全测试入门- sql注入-盲注 安卓App安全测试入门- XSS 安卓App安全测试入门- 二维码安全 安卓App安全测试入门- 支付逻辑漏洞 安卓App安全测试入门- 文件上传漏洞 课程观看地址：https://edu.aqniu.com/course/6511   安卓开发实践- Android中的线程池 安卓开发实践- Android中的线程池-工具封装 安卓开发实践- Android性能优化-布局优化 安卓开发实践- Android性能优化-内存优化 安卓开发实践- Android性能优化-内存优化-上手 安卓开发实践- Smail逆向基础 安卓开发实践- Smail语法 安卓开发实践- Dalvik字节码 安卓开发实践- Android Native逆向基础知识 安卓开发实践- ARM简介 安卓开发实践- ARM指令集 安卓开发实践- ARM逆向基础知识 安卓开发实践- 安卓逆向工具-Agenda 安卓开发实践- 安卓逆向工具-Frida 安卓开发实践- 安卓逆向工具-GDB 安卓开发实践- 安卓逆向工具-Burp 课程观看地址：https://edu.aqniu.com/course/6858   从密码学原理与应用新方向到移动身份认证与实践- 密码学和身份认证在信息安全中的地位 从密码学原理与应用新方向到移动身份认证与实践- 密码学概述与历史－环游密码世界 从密码学原理与应用新方向到移动身份认证与实践- 对称密码原理－用相同的密钥进行加密和解密 从密码学原理与应用新方向到移动身份认证与实践- 分组密码模式－对拆分为固定长度的明文加密和解密 从密码学原理与应用新方向到移动身份认证与实践- 非对称密码－非对称密码－用公钥加密，用私钥解密 从密码学原理与应用新方向到移动身份认证与实践- 非对称密码的代表RSA加解密原理 从密码学原理与应用新方向到移动身份认证与实践- 混合密码系统－用对称密码快速加解密数据，用公钥密码保护会话密钥 从密码学原理与应用新方向到移动身份认证与实践- 单向散列函数－获取消息的DNA 从密码学原理与应用新方向到移动身份认证与实践- 消息认证码－消息被正确传送了吗 从密码学原理与应用新方向到移动身份认证与实践- 数字签名-消息到底是谁写的 从密码学原理与应用新方向到移动身份认证与实践- 数字证书-为公钥数字签名证明是可信的 从密码学原理与应用新方向到移动身份认证与实践- 密钥全生命周期－是密码学应用的重点和难点 从密码学原理与应用新方向到移动身份认证与实践- 随机数-不可预测的比特序列 从密码学原理与应用新方向到移动身份认证与实践- 白盒密码-让密钥消失是保护密钥安全的最好方式 从密码学原理与应用新方向到移动身份认证与实践- 国产密码现状及在金融领域的应用 从密码学原理与应用新方向到移动身份认证与实践- PGP的应用-密码技术的完美组合 从密码学原理与应用新方向到移动身份认证与实践- 密钥拆分存储－一种保护手机密钥的方法 从密码学原理与应用新方向到移动身份认证与实践- 量子密码发展现状及对传统密码的冲击（一） 从密码学原理与应用新方向到移动身份认证与实践- 量子密码发展现状及对传统密码的冲击（二） 从密码学原理与应用新方向到移动身份认证与实践- 密码学在区块链的应用 课程观看地址：https://edu.aqniu.com/course/7950   大规模路由技术- 企业网模型 大规模路由技术- OSPF协议基本原理 大规模路由技术- 路由协议基础 大规模路由技术- 路由控制与转发 大规模路由技术- 大规模网络路由技术概述 课程观看地址：https://edu.aqniu.com/course/7976   等保2.0下工控信息安全检查研究- 网络安全等级保护工控扩展解读 等保2.0下工控信息安全检查研究- 工控系统现状与特点 等保2.0下工控信息安全检查研究- 工控安全检查内容和实施方法 等保2.0下工控信息安全检查研究- 工控安全检查注意事项 课程观看地址：https://edu.aqniu.com/course/7952   机器学习与网络安全- 卷积TF编程 机器学习与网络安全- 实践 机器学习与网络安全- resnet-V1 机器学习与网络安全- resnet-V2 机器学习与网络安全- mini_Project-1 机器学习与网络安全- mini_Project-2 机器学习与网络安全- mini_Project-3 机器学习与网络安全- alex_net 机器学习与网络安全- InceplionV1 机器学习与网络安全- InceplionV2 机器学习与网络安全- InceplionV3 机器学习与网络安全- vggnet 课程观看地址：https://edu.aqniu.com/course/4868   基于云的业务安全及实践指南- 云计算概念和体系架构 基于云的业务安全及实践指南- 企业云业务风险 基于云的业务安全及实践指南- 企业云业务风险策略 基于云的业务安全及实践指南- 云业务风险治理厂商及产品 基于云的业务安全及实践指南- BCP和DRP架构 基于云的业务安全及实践指南- BCP和DRP策略 基于云的业务安全及实践指南- 演练计划 课程观看地址：https://edu.aqniu.com/course/8090   区块链从理论走向应用- 比特币原理 区块链从理论走向应用- 比特币原理 区块链从理论走向应用- 比特币原理 区块链从理论走向应用- 比特币脚本-上 区块链从理论走向应用- 比特币脚本-下 课程观看地址：https://edu.aqniu.com/course/6502   网络工程师- 直连路由和静态路由 网络工程师- RIP原理 网络工程师- OSPF基础 网络工程师- 用访问控制列表实现包过滤 网络工程师- 网络地址转换 课程观看地址：http://网络工程师   等保相关技术和产品- 信息安全等级保护概述 等保相关技术和产品- 物理安全技术串讲 等保相关技术和产品- 电子门禁系统 等保相关技术和产品- 防盗报警系统 等保相关技术和产品- 不间断电源(UPS) 等保相关技术和产品- 防雷保安器 等保相关技术和产品- 自动消防系统 等保相关技术和产品- 漏水检测系统 等保相关技术和产品- 精密空调 等保相关技术和产品- 柴油发电机 等保相关技术和产品- 屏蔽机柜 课程观看地址：https://edu.aqniu.com/course/8073   信息安全合规性- 网络安全法综述 信息安全合规性- 网络安全法综述 信息安全合规性- 网络安全法-法律责任 信息安全合规性- 网络安全法相关法律法规解读（公安部网络安全保卫局） 信息安全合规性- 国内外网络安全形式 信息安全合规性- 立法背景历程与内涵 信息安全合规性- 网络安全法关键点解读 信息安全合规性- 网络安全法带来的挑战 信息安全合规性- 企业的遵守与应对 信息安全合规性- 信息安全技术网络安全等级保护基本要求试行稿 信息安全合规性- 信息安全技术网络安全等级保护测评要求试行稿 课程观看地址：https://edu.aqniu.com/course/8006   业务连续性管理- 业务连续性管理概述 业务连续性管理- 风险管理6R模型和术语 业务连续性管理- 组织环境 业务连续性管理- 领导力 业务连续性管理- 支持 业务连续性管理- 实施 业务连续性管理- 实施-2 业务连续性管理- 测量和改进 业务连续性管理- 业务连续性组织 业务连续性管理- 业务影响分析 业务连续性管理- 业务连续性计划 业务连续性管理- 应急演练 业务连续性管理- 应急演练评估 业务连续性管理- 演练执行和总结 业务连续性管理- 业务连续性管理审核 课程观看地址：https://edu.aqniu.com/course/8113

课程-章节   安卓应用攻防- 短信欺诈 安卓应用攻防- 聚会相册 安卓应用攻防- 勒索 安卓应用攻防- 逆向技术分析-AQ 安卓应用攻防- 恶意代码分析和竞品分析 安卓应用攻防- 逆向技术分析-静态分析 安卓应用攻防- 逆向技术分析-动态分析   观看地址：https://edu.aqniu.com/course/3742   linux安全运维- Nagios使用NRPE监控Linux主机 linux安全运维- Nagios监控windows主机 linux安全运维- zabbix详细讲解及serve端安装 linux安全运维- zabbix界面介绍及简单配置agent linux安全运维- zabbix-proxy和自动发现自动注册功能详解 linux安全运维- zabbix中items详解 linux安全运维- zabbix监控tcp连接状态、Nginx状态和mysql   观看地址：https://edu.aqniu.com/course/2032   CSA STAR CCM云安全管理矩阵详解- 治理和风险管理-标准解读 CSA STAR CCM云安全管理矩阵详解- 治理和风险管理-风险管理方法   观看地址：https://edu.aqniu.com/course/7951   python实战应用开发-查漏补缺 观看地址：https://edu.aqniu.com/course/6645   安全测试与防御实践- AWVS介绍 安全测试与防御实践- AWVS版本和安装 安全测试与防御实践- AWVS原理和详细介绍 安全测试与防御实践- Firefox安全测试插件合集 安全测试与防御实践- NoSQL数据库测试和漏洞分析 安全测试与防御实践- CMS内容管理器分析   观看地址：https://edu.aqniu.com/course/6536   等保相关技术及产品- 网闸GAP 等保相关技术及产品- 网络审计系统 等保相关技术及产品- 入侵检测系统 等保相关技术及产品- 入侵防御系统   观看地址：https://edu.aqniu.com/course/8073   信息安全合规性- ISO27001-思维导图2013版14个领域 信息安全合规性- ISO27001标准：2013中英文对照 信息安全合规性- 信息安全技术 信息安全评估规范 信息安全合规性- 证券期货业信息系统审计规范 信息安全合规性- 证券期货业信息系统审计指南 信息安全合规性- 银行业信息系统灾难恢复管理规范 信息安全合规性- 工业控制系统信息安全防护指南 信息安全合规性- 企业的规章制度   观看地址：https://edu.aqniu.com/course/8006   Kerberos域安全- 黄金票据 Kerberos域安全- MS14-068 Kerberos域安全- MS15-011和MS15-014漏洞   观看地址：https://edu.aqniu.com/course/8029   区块链从理论走向应用- 挖矿 区块链从理论走向应用- 以太坊介绍 区块链从理论走向应用- 编写智能合约-上 区块链从理论走向应用- 编写智能合约-下   观看地址：https://edu.aqniu.com/course/6502   OSSIM开源安全信息管理系统实践- ossim安装与部署(二) 观看地址：https://edu.aqniu.com/course/4637   大规模路由技术- PBR 大规模路由技术- 路由引入 大规模路由技术- BGP基础   观看地址：https://edu.aqniu.com/course/7976

本次公开课邀请 新华三集团安全产品线解决方案专家 陈宇，为大家带来一场线上演讲：云网智安融合 新华三零信任防护体系重塑安全边界 演讲时间：2021年8月6日19:30-22:00 演讲提纲： 1）

  CloudFlare总部位于美国旧金山，是一家成长迅速的网络性能和安全公司，专门为网站提供DDoS安全防护和CDN加速、分析及应用等服务。

Recon-ng官方文档 一、安装     1.安装依赖文件dnspython,httplib2,python-0auth2            sudo pip install dnspython