Web安全学习大纲 一、Web安全系列之基础 1、Web安全基础概念（1天） 互联网本来是安全的，自从有了研究安全的人之后，互联网就变的不安全了。 2、web面临的主要安全问题（2天） 客户端：移动APP漏洞、浏览器劫持、篡改 服务器：DDos攻击、CC攻击、黑客入侵、业务欺诈、恶意内容 3、常用渗透手段（3天） 信息搜集：域名、IP、服务器信息、CDN、子域名、GOOGLE HACKING 扫描器扫描：Nmap、AWVS、Burp Suite、在线扫描器 权限提升 权限维持 二、Web安全系

Shiro_exploit检测工具，环境：Python2.7；Jdk 1.8直接运行。Shiro_exploit用于检测与利用Apache Shiro反序列化漏洞脚本。可以帮助企业发现自身安全漏洞。

图形化界面，该工具支持漏洞检测，请勿用作非法途径，否则后果自负。 Shiro550无需提供rememberMe Cookie，Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType（支持多选），如果不指定会遍历所有的 Key/Gadget/EchoType 复杂Http请求支持直接粘贴数据包 pic1

Shiro1.2.4及以下版本存在反序列化漏洞，该工具用于测试该漏洞。

Shiro_exploit Shiro_exploit用于检测与利用Apache Shiro反序列化漏洞脚本。可以帮助企业发现自身安全漏洞。 该脚本通过网络收集到的22个键，利用ysererial工具中的URLDNS这个Gadget，并结合dnslog平台实现入侵检测。突破利用则可以选择Gadget和参数，增强功能。 环境 Python2.7 要求 杰克1.8 使用说明 usage: shiro_exploit.py [-h] -u URL [-t TYPE] [-g GADGET] [-p