Cosm-gedenke/Web-Exploitation-classes-secTT-26

# Web-Exploitation 课程-secTT-26      用于IST的CTF团队STT的Web利用教学课程和挑战集合。 ## 教师： - Leonardo Guerreiro (@cosm) - Daniel Batista (@db) - André Cadete (@afsc19) 感谢Frederico Castro (@m3mph1s)提供的挑战贡献。 ## 课程内容： 包含7个课程，不同的挑战，用于教授Web利用入门学生。 所选择的漏洞相对有偏向性。然而，选择它们是因为考虑到这些被认为是CTF和进攻性安全最重要的概念。 需要说明的是，虽然这些课程内容丰富，但它们不应被视为唯一的训练和学习来源，因为成为一名合格的黑客需要大量的练习。 不过，这应该足以很好地教授新学生基础知识，课程结构如下： class0-1: SQL注入和Web利用入门 class-2: 反射型和存储型XSS介绍 class-3: API测试和CSRF class-4: SSRF class-5: DOM XSS和客户端原型污染 class-6: 服务端原型污染 class-7: SSTI ## 部署： 你会在每个`class*`文件夹中找到docker-compose.yml。进入你想部署挑战的文件夹，然后运行以下命令。 ``` docker compose up -d --build ``` 完成这些挑战后，请确保停止它们： ``` docker compose down ``` ## 版权： 鼓励任何和所有使用本仓库的行为，只要提及原始贡献者，本着促进道德学习的善意即可。

标签：API安全, CISA项目, CSRF, CTF培训, Docker, DOM XSS, Flask, JSON输出, meg, Python, SSRF, SSTI, Web安全, Web应用安全测试, XSS, 信息安全, 原型污染, 安全防御评估, 客户端安全, 数据展示, 无后门, 服务器端安全, 服务器端模板注入, 服务器端请求伪造, 漏洞情报, 版权保护, 红队, 网络安全, 蓝队分析, 请求拦截, 跨站脚本攻击, 跨站请求伪造, 进攻性安全, 逆向工具, 隐私保护, 靶场环境