前言：
我们这篇文章是讨论安全测试的。
现在是什么时代，现在是信息时代，数字时代，网络时代。
如果把当前的时代类比成一款游戏，应该分成几种角色。我把它分成4种，理论者，建设者，使用者，破坏者。
理论者，就是提出OSI七层模型的这群人，像物理世界中的牛顿，三定律让汽车上路，轮船下海，火箭升天，他们是先贤，奠定了这个时代的基石。
建设者，OSI模型的底层实施者，物理设施的提供者，做网线的也算。
使用者，用计算机上网的，论坛发帖子的，博客写文章的，手机玩游戏的，开发网站，app的，应用层的参与者们。
破坏者，嗯，这个就开始接近我们的主题了。网络传谣的，网络诈骗的，就是将社会工程映射到网络时代的那些人，数据窃取的，非法入侵的，软件破解的(这个有待推敲，里面也有正义人士嘛)，看到这里也许有人就会说，这不就是黑客吗，这是黑客被污名化了，我们来给广义的黑客分分类。
黑客咋分类，目前我看到的有这么四类，白帽黑客，灰帽黑客，黑帽黑客，脚本小子，前三个属于有技术的，后一个属于没技术的，就是捡个”菜刀”就上，”砍到”算赚到。
白帽黑客，就是我们这些测试人员了，当然这里面也有个晋升的等级，最初的时候，我们也是用些工具，但随着经验值的增加，也就是对漏洞的理解程度，会想到定制工具，扩展工具，甚至开发工具，提高其灵活性，增强掌控工具的力度，以此来满足我们的测试需求，这就是我们这篇文章要展开讲的了。
记住，定制，扩展，开发工具的目的是，提高灵活性，增强掌控工具的力度，加深对漏洞的理解程度，并不是说，我们为了建一栋大厦，先从烧砖开始，为了上网，先搓根网线，都是踩在巨人的肩膀上嘛。

通过本期51讲堂，您将获得以下内容：
1、核心主题：打造Web安全测试工具
2、安全测试工具设计及编码（分享源码）
3、使用我们自己设计的安全测试工具，全面详解owasp漏洞场景（以owasp的web漏洞程序为靶场）
4、讲解owasp漏洞，主要包含：
（1）HTTP拆分(缓存投毒)、利用访问控制规则
（2）绕过基于路径的访问控制
（3）基于角色的访问控制、远程管理访问
（4）基于DOM的跨站脚本攻击、DOM注入
（5）客户端过滤、同源策略保护
（6）XML注入、JSON注入
（7）静默事务攻击、不安全的客户端存储
（8）危险的eval函数
（9）密码强度、忘记密码功能
（10）多级登录、认证漏洞
（11）缓冲区溢出、敏感信息泄露、线程安全、并发缺陷
（12）XSS网络钓鱼漏洞、存储型xss、修复存储型xss漏洞(开发版)、反射型XSS漏洞、修复反射型XSS漏洞(开发版)
（13）跨站请求伪造(CSRF)、CSRF旁路攻击(二次确认)、CSRF令牌绕过
（14）测试HTTPOnly属性、跨站点追踪攻击(XST)
（15）字符型SQL注入漏洞、字符型SQL解决方案(开发版)、数字型SQL注入漏洞、数字型SQL解决方案(开发版)、命令注入漏洞
（16）日志欺骗、XPATH注入漏洞
（17）数值型SQL盲注、字符型SQL盲注
（18）拒绝服务漏洞(DOS)
（19）不安全的通信，配置，存储、恶意文件执行
（20）绕过html字段限制、利用隐藏字段
（21）绕过客户端脚本验证、伪造身份验证cookie
（22）会话劫持、会话固定、创建SOAP请求
（23）web服务注入等。