*本文中涉及到的相關漏洞已報送廠商並得到修復，本文僅限技術研究與討論，嚴禁用於非法用途，否則產生的一切後果自行承擔。

內容介紹

本課程是HackerOne出品的Web安全免費在線課程（ Hacker101 ），以“LEARN HOW TO HACK”爲主旨，包含了相關的視頻、資源和動手實驗，目的在於教授Hacking思維和知識，入門Bug Bounty Hunter（漏洞賞金獵人）。課程內容涵蓋了XSS、SQL、會話劫持、文件包含等當前流行漏洞的分析，另外還涉及漏洞報告、加密解密、BurpSuite使用和移動端APP測試分析等版塊。總體來說，Hacker101是安全初學者入門提高的理想選擇，無論你是對漏洞衆測（Bug Bounty）感興趣的程序員，還是經驗豐富的安全專家，都會在Hacker101課程中有所收穫。

本節課程，我們繼續來學習Hacker101的視頻課程。我們從密碼存儲問題講起，提到不常用的Bcrypt、Scrypt和PBKDF2，推薦使用這兩種加密存儲的原因在於其單向HASH加密和多輪迭代，使得密碼破解難度較大，能安全地存儲密碼信息而不能輕易被攻擊者破解利用。之後討論了威脅建模方法，談到了複雜和輕量級的威脅建模方法，以及該兩種方法的對比應用，對我們在進行威脅識別和建立測試計劃時非常有用。

觀看視頻

*本課程翻譯自Youtube精選系列教程，喜歡的點一波關注（每週更新）！

*本文視頻編輯willhuang，由clouds 編譯，FreeBuf視頻組榮譽出品，轉載須註明來自FreeBuf.COM