01
支付卡数据安全概述
PCI DSS标准 · 支付卡数据生命周期 · 常见攻击面分析
合规基础
02
信息收集与侦察
被动信息收集 (Shodan, Google Hacking) · 主动扫描 (Nmap, Masscan) · 目标指纹识别
侦察OSINT
03
网络嗅探与中间人攻击
ARP欺骗 · DNS欺骗 · SSLStrip · Ettercap / Bettercap 流量劫持
MITM嗅探
04
Web应用漏洞挖掘 (上)
SQL注入 (报错注入, 盲注) · XSS (反射型, 存储型) · CSRF攻击原理与利用
注入XSS
05
Web应用漏洞挖掘 (下)
SSRF · 文件上传漏洞 · 命令执行漏洞 · XXE (XML外部实体注入)
SSRF上传
06
支付接口逻辑漏洞
金额篡改 · 订单重放 · 越权访问 · 优惠券/积分滥用
逻辑支付
07
暴力破解与凭证填充
Burp Suite Intruder · Hydra破解 · 撞库攻击与防御
爆破凭证
08
会话劫持与令牌破解
Session Fixation · JWT令牌伪造 · OAuth 2.0授权绕过
会话JWT
09
数据库攻击与数据窃取
MySQL/MSSQL注入提权 · Redis未授权访问 · MongoDB注入
数据库提权
10
内存分析与卡数据提取
Volatility分析内存镜像 · 提取明文PAN数据 · 查找Track2数据
内存取证
11
键盘记录与剪贴板劫持
编写简易键盘记录器 · Hook技术 · 剪贴板数据窃取
Hook间谍
12
钓鱼攻击与社工
构建钓鱼页面 · Gophish演练 · 短信钓鱼 (SMiShing)
钓鱼社工
13
恶意软件与后门植入
Metasploit生成Payload · C2通信建立 · 持久化控制
后门C2
14
物理攻击与侧信道
读卡器克隆 (MagSpoof) · NFC中继攻击 · 电磁侧信道分析
物理侧信道
15
加密破解与密钥管理
弱加密算法识别 (DES/MD5) · 密钥暴力破解 · TLS证书伪造
密码TLS
16
移动支付安全
Android/iOS应用逆向 · Hook框架 (Frida/Xposed) · 模拟器检测绕过
移动逆向
17
云环境下的支付数据攻击
AWS/Azure元数据服务攻击 · S3存储桶泄露 · 容器逃逸
云容器
18
日志分析与溯源
Windows/Linux日志分析 · Web日志审计 · ELK威胁狩猎
日志溯源
19
数据脱敏与绕过
静态脱敏识别 · 动态脱敏绕过 · 差分隐私攻击
脱敏隐私
20
自动化攻击脚本编写
Python自动化扫描器 · POC验证脚本 · 批量利用工具
脚本自动化
21
红队实战演练 (一)
环境搭建 (Vulhub/DVWA/WebGoat) · 攻击路径规划
红队环境
22
红队实战演练 (二)
从外网打点到内网渗透 · 获取支付数据库权限
内网渗透
23
红队实战演练 (三)
数据外传与痕迹清理 · 编写渗透报告
外传报告
24
蓝队防御策略
WAF规则编写 · IDS/IPS部署 · HIDS监控
蓝队防御
25
安全编码实践
输入验证 · 输出编码 · 参数化查询 · 安全配置
编码SDL
26
支付卡数据加密标准
AES-256加密 · RSA密钥交换 · HSM硬件安全模块
加密HSM
27
令牌化与掩码技术
Visa Token Service · Apple Pay令牌化 · 动态掩码
令牌掩码
28
合规审计与渗透测试
PCI DSS渗透测试要求 · 报告编写 · 漏洞修复验证
合规审计
29
前沿攻击技术
AI驱动的钓鱼 · 深度伪造语音攻击 · 供应链攻击
AI供应链
30
总结与职业发展
学习路径推荐 · 认证介绍 (CISSP/OSCP/CEH) · 伦理与法律边界
认证职业