🛡️ Python后端安全防护 漏洞修复实战

📚 30章 · 从入门到应急
01 安全基础
  • OWASP Top 10
  • 威胁模型
  • 安全开发生命周期
02 输入验证
  • SQL注入原理
  • 参数化查询
  • 白名单/黑名单
03 XSS防御
  • 反射型XSS
  • 存储型XSS
  • DOM型XSS
  • 模板自动转义
04 CSRF防护
  • CSRF攻击原理
  • Token机制
  • SameSite Cookie
05 认证安全
  • Session管理
  • JWT安全
  • 密码哈希加盐
06 授权控制
  • RBAC模型
  • 越权漏洞检测
  • 最小权限原则
07 文件安全
  • 文件上传漏洞
  • 路径遍历防御
  • 文件类型白名单
08 SSRF防护
  • SSRF攻击原理
  • 内网地址过滤
  • URL解析安全
09 反序列化安全
  • Pickle风险
  • JSON安全
  • YAML安全配置
10 日志与监控
  • 安全日志规范
  • 敏感信息脱敏
  • 异常行为检测
11 HTTPS配置
  • TLS证书管理
  • HSTS头设置
  • 安全加密套件
12 CORS安全
  • 跨域资源共享
  • 预检请求
  • Credentials配置
13 请求验证
  • 请求速率限制
  • 请求体大小限制
  • HTTP方法白名单
14 依赖安全
  • 第三方库漏洞扫描
  • 依赖版本锁定
  • SBOM管理
15 数据库安全
  • 连接字符串加密
  • 权限最小化
  • 查询超时设置
16 缓存安全
  • 缓存投毒防御
  • 缓存键设计
  • 敏感数据缓存策略
17 API安全
  • RESTful API认证
  • API密钥管理
  • GraphQL深度限制
18 WebSocket安全
  • WebSocket认证
  • 消息校验
  • 连接生命周期
19 容器安全
  • Docker安全最佳实践
  • 镜像漏洞扫描
  • 运行时安全配置
20 密钥管理
  • 环境变量安全
  • 密钥轮换策略
  • 硬件安全模块
21 错误处理
  • 自定义错误页面
  • 异常信息脱敏
  • 统一错误响应
22 安全头配置
  • Content-Security-Policy
  • X-Frame-Options
  • X-Content-Type-Options
23 会话固定防御
  • 会话ID重新生成
  • 会话超时设置
  • 并发会话控制
24 点击劫持防御
  • X-Frame-Options配置
  • Frame-Options策略
  • JavaScript防嵌套
25 安全编码规范
  • 输入输出编码
  • 安全函数使用
  • 代码审计清单
26 渗透测试基础
  • 渗透测试工具
  • Python安全扫描脚本
  • 漏洞验证方法
27 安全框架集成
  • Django安全中间件
  • Flask安全扩展
  • FastAPI安全依赖
28 数据脱敏
  • PII数据识别
  • 脱敏算法实现
  • 动态数据脱敏
29 安全运维
  • WAF配置
  • 入侵检测集成
  • 安全补丁管理
30 应急响应
  • 安全事件分级
  • 漏洞修复流程
  • 事后复盘改进