实用 Laravel 安全 - 保护你的 Laravel 应用

实用的 Laravel 安全 是实践课程，使用 交互式黑客练习 教你如何保持你的应用程序安全。
因为学习安全并不一定很无聊！

为什么 Laravel 安全很重要？

人们很容易认为像 Laravel 这样强大的框架是安全的，但大多数时候，小事这会暴露你的应用程序中的漏洞。

让我们看一些最近新闻中的例子……

1. 澳大利亚电信公司 澳普特斯 最近被黑客入侵据称，由于暴露了未经身份验证的 API 端点 “ 假设该 API 仅由授权的公司系统使用。 “

2. PortSwigger 发现 Mastodon 分叉中的漏洞允许他们 窃取用户密码 , 由于内容安全策略（CSP）较弱以及对用户输入的限制较多，导致： “ form-action 指令可以防止此类攻击 “。

3. 福特布里奇发现 Plesk 中的 REST API 缺乏足够的跨站请求伪造 (CSRF) 保护，这使得他们能够策划影响 “ 所有 POST 请求，我们可以利用它滥用大多数 API “。

所有这些都是 微小且被忽视的漏洞 在其他方面都很强劲和安全系统。

实用的 Laravel 安全 教你如何避免、发现和修复这些小错误，因此与这些应用程序不同，您的应用程序不会被黑客入侵！

为我报名！

课程大纲

我相信 最好的方法 学习如何防御黑客攻击，是首先 学习如何破解 （当然，从道德上来说……） 。

因此我们首先了解他们的攻击。

首先我们将介绍理论 - 它是什么？它是如何工作的？他们为什么要使用它？

然后你将学习如何 自己动手 ！每个攻击模块都会给你提供 实践练习 您可以在这里运用新掌握的黑客技能！

当然，教你攻击而不教你攻击是没有意义的 如何防御 。因此在保卫模块，我会教你具体需要什么工具保护您的网站免受您刚刚了解到的攻击。

攻击

跨站点脚本（XSS）
1. 偷饼干！
2. 退出输入！
3. 属性魔法！
4. 劫持格式！
5. Markdown 注入！
6. 脚本注入！
完全的
跨站请求伪造 (CSRF)
1. 发送 POST 请求！
2. 复制表格！
3. 在后台提交表格！
4. 旁路 SameSite=Lax ！
5. 滥用子域名！
6. 窃取 CSRF 令牌！
完全的
SQL注入（SQLi）
1. SQLi 登录陈词滥调！
2. 嵌套登录 SQLi！
3. 基于联合的 SQLi！！
4. 基于错误的 SQLi！
5. 盲错误状态 SQLi！
6. 基于盲时 SQLi！
完全的
缺少授权
1. 增量 IDOR！
2. UUID泄漏！
3. 不完整的密码学！
4. 就像 CRUD 一样简单！
5. 小心SPA！
6. 可预测的哈希！
完全的
类型杂耍
1. 使用整数绕过密码！
2. 魔法哈希！
3. JSON 让这一切变得简单！
4. 那么序列化呢？
完全的
注射
1. 路径遍历/本地文件包含（LFI）！
2. 对象操纵！
3. PHP 对象反序列化！
4. 命令注入
完全的
验证
调试模式
供应链攻击
浏览器安全
数据泄露

保卫

转义输出
完全的
HTML 和 Markdown
完全的
CSRF 令牌
完全的
同一站点 Cookie
完全的
跨域资源共享 (CORS)
完全的
参数化
完全的
授权策略
完全的
授权门
完全的
签名 URL
完全的
HMAC哈希值
完全的
严格/安全比较
完全的
安全地反序列化
完全的
转义命令
完全的
输入验证
密码安全
速率限制
验证
浏览器安全标头
内容安全策略 (CSP)
子资源完整性（SRI）
和更多...

我们开始吧！

我是谁？

你好，我是 史蒂芬·里斯·卡特 , 过去一年我一直在对 Laravel 进行安全审计各种规模的应用程序。你可以想象，我见过很多很棒的代码，但我也见过一些 真正可怕的代码 ，同样的错误一再犯下！

然而，我最常看到的是一些小错误、缺失的部分， 被遗忘和忽视 引入微妙但 严重漏洞 。就像错误会潜入我们的代码一样，这些漏洞也会潜入我们的代码中。

我想教你在别人利用这些细微的错误之前找到并修复它们！

我的会议演讲被描述为“就像观看某人表演魔术，但魔术很可怕”，这就是我希望在本课程中复制的经验…… 但这一次，你将是表演魔术的人！

我希望你能来 安全旅程 与我一起！如果您对课程有任何疑问，请随时发邮件给我。您还可以在推特和乳齿象。

报名参加课程！

立即注册并获取 早期访问 在模块发布时，
并得到一个折扣最终价格！

单次付款

300美元美元

特別折扣價格。

完全访问课程
访问 Discord 服务器

报名

付款计划

$79 每月美元 x4

4 个月固定期限付款计划。

逐步访问课程
访问 Discord 服务器

报名

团队许可证

请联系我们了解团队定价并讨论您的需求。团队计划包含课程的完整访问权限以及课程全程跟踪员工进度。

联系我

课程反馈

嘿，斯蒂芬，
只是想感谢您开设这门课程。
喜欢这种形式，游戏化对我的大脑很有帮助😊 它让我以一种仅仅阅读一本书所无法想到的方式来思考这个问题。
最后 跨站脚本攻击 挑战很有趣，没有使用提示，但是 [删除] 😊
期待接下来的挑战。
谢谢，
马特

这是一门非常有趣的实践课程，其中包含练习，让您在学习的同时还能学到东西！
— 安娜·里斯本 (@_ana_lisboa_)
2023 年 2 月 14 日

来自过去的谈话和社交媒体

克莱门特： 又来了，噩梦又来了……😱
科林： 快点@James，把 Forge 拿下！
亚历克斯： 啊啊啊现在我要开始做安全噩梦了
亚历克斯： 每次拉拉康节我都得像史蒂芬一样回来。我得每六个月左右就对安全问题感到恐慌。
~YouTube 实时聊天

亚历克斯： 每次 Stephen 讲话，我都会大吃一惊
哈维尔： 同意
科林： 每次 Stephen 讲话，我都会紧张
~YouTube 实时聊天

基督教： 这就像看某人表演魔术，但魔术很可怕🤯
~YouTube 实时聊天

这太棒了，只需订阅邮件列表。
— 达沃·明乔罗夫 (@davorminchorov)
2022 年 11 月 13 日

我一直很喜欢 Laravel Security 时事通讯，所以我很期待这门课程。安全性是我们作为开发人员应该继续投资的主题之一。
— Joel Clermont（@jclermont）
2022 年 11 月 10 日

吉姆： 这家伙总是让我紧张
伤害： 他应该
~YouTube 实时聊天

克莱门特： 聊完这番话我们该怎么睡觉？😱
Gertjan： 🤯
~YouTube 实时聊天

@valorin 的这门课程看起来非常有趣！☠️
— 安德里亚·马可·萨托里 (@cerbero90)
2023 年 2 月 14 日

马吕斯: 谢谢史蒂芬，现在我要做噩梦了🤣
~YouTube 实时聊天

非常期待。👍
— Hamza Ikram || Laravel 开发人员 (@h_ik04)
2022 年 11 月 11 日

买了！还没开始玩，不过很期待。我记得我看过你两场 Laracon 的演讲，所以毫不犹豫地就买了预售版。
— Pim Veelders (@PimVeelders)
2023 年 2 月 14 日

我确信，请给我报名！

常见问题

本课程适合哪些人？

面向所有技能水平的 Laravel 开发人员，无论其安全知识水平如何。我们将为无相关知识的开发者讲解相关概念，挑战难度也从易到难，确保每个人都能有所收获。

那么深入了解 Laravel 安全性？

我们希望它们互相补充，而不是重复使用或重复内容。我喜欢每周撰写电子邮件，所以我绝对希望它独具特色。本课程专注于特定的漏洞以及如何在自己的代码中查找和修复这些漏洞，因此它将是一个非常实用的学习方式。虽然新闻简报将更多地关注概念、实现、Laravel 的最新变化等，但也会探讨安全实现。此外，还会讨论像 OWASP Top 10 这样的概念——它将在某种程度上指导课程，但不会直接涉及。

它需要什么特殊软件吗？

不。您需要的一切都可以在浏览器中获得，尽管它尚未针对移动设备进行优化，因此您需要使用计算机。

付款计划如何运作？

为方便起见，付款计划采用 Stripe 月度订阅的方式。订阅期限固定后将自动取消。课程模块访问权限最初会受到限制，每次付款完成后将开放更多模块访问权限。付款计划完成后，将获得课程的完整访问权限。

有团队定价吗？

是的！提供团队定价以及一些附加功能，例如跟踪员工进步。请给我发电子邮件讨论您的需求。

有 PPP 或学生折扣吗？

是的！请给我发电子邮件并让我知道您的位置/情况，我会看看我能做些什么来提供帮助。

我可以得到发票吗？

当然。付款将通过 Stripe 处理，并会为您生成发票。

如果我认为这不适合我怎么办？

不用担心，只是给我发电子邮件购买后 7 天内，我会无条件退款给您。

那[税]怎么办？

Stripe 应该自动处理购买时所需的任何税费。