支付安全合规与渗透测试实战

📚 共计 30 章节
01
支付安全概述
支付行业安全现状、常见攻击类型、CIA三要素、合规与安全的关系
基础合规
02
PCI DSS标准精讲
12项核心要求、SAQ与ROC评估、持卡人数据保护、合规自检清单
标准合规
03
支付卡数据保护
PAN/CVV/PIN存储与传输、加密令牌化、数据留存与销毁
加密数据安全
04
支付系统架构安全
三层架构、API网关安全、微服务认证与鉴权
架构API
05
HTTPS与TLS在支付中的应用
证书链验证、双向SSL/TLS、HSTS/HPKP、TLS配置漏洞
网络加密
06
支付接口签名机制
HMAC-SHA256、RSA签名、时间戳防重放、签名校验流程
签名接口
07
OWASP Top 10在支付场景中的实战
SQL注入、XSS窃取Token、CSRF伪造转账
OWASP漏洞
08
支付逻辑漏洞挖掘
金额篡改、数量越权、优惠券滥用、状态机绕过、并发竞争
逻辑业务
09
渗透测试方法论
PTES标准流程、信息收集、威胁建模、漏洞利用、报告编写
方法论PTES
10
信息收集与资产发现
子域名枚举、CDN绕过、指纹识别、Git泄露、Google Hacking
信息收集OSINT
11
Burp Suite在支付渗透中的高级用法
Repeater重放、Intruder爆破优惠码、Sequencer分析随机数
工具Burp
12
SQL注入深入
报错/布尔/时间盲注、二阶注入、WAF绕过(注释/编码/分块)
SQLiWAF绕过
13
XSS与支付劫持
存储型XSS窃取Cookie、BeEF控制浏览器、钓鱼表单劫持
XSS劫持
14
CSRF与SSRF在支付中的利用
CSRF修改支付密码、SSRF探测内网、Gopher攻击Redis
CSRFSSRF
15
文件上传漏洞
绕过Content-Type、图片马、.htaccess解析、WebShell获取权限
上传WebShell
16
命令注入与RCE
管道符绕过、编码绕过、DNSlog外带、反弹Shell
RCE注入
17
业务逻辑漏洞
越权访问订单、水平/垂直越权、提权至管理员
越权逻辑
18
支付重放与并发攻击
订单重复提交、库存超卖、优惠券多次使用、分布式锁防御
并发重放
19
中间人攻击与流量劫持
ARP欺骗、SSLStrip、DNS劫持、HSTS预加载防御
MITM流量
20
移动支付安全
Android/iOS抓包、Root检测绕过、Frida/Xposed Hook
移动Hook
21
第三方支付SDK安全
SDK供应链攻击、回调URL验证绕过、支付结果伪造
SDK供应链
22
区块链与加密货币支付安全
智能合约重入攻击、私钥管理、51%攻击、交易所安全
区块链加密货币
23
安全编码实践
输入验证、输出编码、参数化查询、安全随机数、最小权限
编码开发
24
WAF与RASP防御
ModSecurity规则、语义RASP检测、绕过与反绕过
WAFRASP
25
日志审计与溯源
支付日志关键字段、ELK搭建、异常行为检测、攻击溯源链
日志溯源
26
GDPR与支付数据隐私
个人数据定义、数据主体权利、泄露通知、罚款计算
隐私GDPR
27
跨境支付合规
反洗钱AML、KYC认证、OFAC制裁名单、外汇管制
跨境合规
28
渗透测试报告编写
CVSS 3.1分级、复现步骤、修复建议、风险量化
报告CVSS
29
红蓝对抗演练
攻击方TTPs、防守监测指标、紫队协作、复盘总结
红蓝对抗
30
支付安全未来趋势
量子计算威胁、零信任架构、AI驱动检测、合规自动化
趋势前沿