企业级渗透测试实战与防御培训课程-中科信软培训中心

企业级渗透测试实战与防御培训课程

培训对象： 安全运维工程师、渗透测试人员（红队）、安全攻防爱好者、软件开发人员（培养安全意识）。
培训目标：
- 建立攻防视角： 以攻击者的视角审视企业系统，深入理解各类Web、系统、应用的漏洞原理与利用方法。
- 掌握渗透测试流程： 精通PTES标准，能够独立完成从信息收集、漏洞扫描、漏洞利用到后渗透的完整流程。
- 提升实战技能： 熟练使用Metasploit、Burp Suite、Nmap、SQLMap等主流渗透测试工具。
- 输出专业报告： 能够撰写高质量、可落地的渗透测试报告，为企业安全建设提供有效建议。
培训内容介绍：
- 一、渗透测试方法论： 讲解渗透测试的流程、标准（PTES, OWASP）、法律边界和道德规范。
- 二、信息收集（踩点）： 深入实战：使用搜索引擎、子域名挖掘、端口扫描、指纹识别等技术全面收集目标信息。
- 三、漏洞扫描与分析： 学习使用Nessus、AWVS、OpenVAS等工具进行自动化扫描，并对扫描结果进行人工验证和误报剔除。
- 四、Web漏洞深度挖掘（一）- SQL注入： 从原理到实战，掌握显注、盲注、报错注入等各类注入手法，利用SQLMap自动化利用。
- 五、Web漏洞深度挖掘（二）- XSS与CSRF： 深入讲解存储型、反射型、DOM型XSS的利用场景，结合CSRF进行组合攻击。
- 六、Web漏洞深度挖掘（三）- 文件上传与包含： 绕过各种上传限制（前端验证、MIME类型、内容检查），利用文件包含漏洞获取Webshell。
- 七、Web漏洞深度挖掘（四）- SSRF与XXE： 学习服务端请求伪造和XML外部实体注入的原理与内网渗透利用技巧。
- 八、权限提升： Windows/Linux系统内核漏洞提权、第三方软件提权、数据库提权等常见提权技术。
- 九、内网渗透与横向移动： 利用代理、端口转发等技术进入内网，通过哈希传递、票据伪造等手段进行横向移动。
- 十、Metasploit Framework高级应用： 熟练使用MSF进行漏洞利用、生成Payload、建立C2（命令与控制）信道。
- 十一、Burp Suite实战技巧： 从Proxy、Repeater、Intruder到Scanner和Extensions，全面掌握这款Web渗透神器。
- 十二、报告编写与复盘： 学习如何编写结构清晰、证据详实、修复建议可操作的渗透测试报告，并进行项目复盘总结。

如果您想学习本课程，请预约报名
如果没找到合适的课程或有特殊培训需求，请订制培训
除培训外，同时提供相关技术咨询与技术支持服务，有需求请发需求表到邮箱soft@info-soft.cn,或致电4007991916
技术服务需求表点击在线申请

服务特点：
海量专家资源，精准匹配相关行业，相关项目专家，针对实际需求，顾问式咨询，互动式授课，案例教学，小班授课，实际项目演示，快捷高效，省时省力省钱。

专家力量：
中国科学院软件研究所，计算研究所高级研究人员
oracle,微软，vmware，MSC,Ansys，candence,Altium,达索等大型公司高级工程师，项目经理，技术支持专家
中科信软培训中心，资深专家或讲师
大多名牌大学，硕士以上学历，相关技术专业，理论素养丰富
多年实际项目经历，大型项目实战案例，热情，乐于技术分享
针对客户实际需求，案例教学，互动式沟通，学有所获