|
课程培训
|
Web渗透与安全—渗透测试-渗透培训课程
培训对象: 本科毕业生、计算机相关专业、大学计算机方向教师、系统管理员、网络管理员和广大网络技术爱好者。大、中型网络信息系统管理人员; Web开发人员,站长或运营公司内技术人员,安全技术从业人员及爱好者; 首席技术官CT0,安全负责人,信息安全主管,网络安全工程师,技术部经理,网络警察,高级安全顾问,其他IT安全相关职位,自主创业。 课程大纲: (一)、安全大事件回顾与思考安全真实案例回顾与讨论 1,安全都涉及什么 2,如何来预防安全事故 3,安全测试的目标和范围 4,安全原理:威胁建模标识资源(敏感数据) 5,创建总体体系结构 6,分解应用程序标识特权代码 7,识别威胁、记录威胁、评价威胁 (二)、Web安全需求分析 1,列出资源:业务数据,应用程序,服务,配置数据,页面 2,建立资源分布图,确定资源位置 3,确定资源信任边界 4,确定资源授权范围 5,建立资源防范目录 (三)、Web应用漏洞及检测方法常见的操作系统漏洞和检查方法 1,常见的数据库漏洞和检查方法 2,Web服务漏洞和检查方法 3,网络通信漏洞和检查方法 4,配置文件漏洞和检查方法 5,其他资源漏洞和检查方法 6,设计安全测试用例确定安全测试点 7,预见可能的入侵事件 8,分析入侵事件的触发条件 (四)、Web入侵常用工具的介绍与使用 1,常见攻击工具Mpack 2,Neosploit 3,ZeuS 4,NukesploitP4ck 5,Phoenix 6,常见安全检查工具IBMRationalAppScan 7,WebInspect 8,NStalker-WAS 9,AcuixWebVulnerabilityScanner(WVS) 10,基础常用工具:明小子、御剑、穿山甲、中国菜刀等 (五)、Web信息收集与安全检测 1,信息收集 2,探查、踩点 3,欺骗 4,会话劫持 5,中间人攻击 6,安全检测、病毒、特洛伊木马和蠕虫 7,破解密码 8,拒绝服务 9,任意执行代码 10,未授权访问 (六)、Web应用常见威胁及其对策 1,标准化漏洞 2,身份验证相关的威胁及其对策 3,针对授权的威胁及其对策 4,针对配置管理的威胁及对策 5,安全的加密 6,对抗针对操作 7,异常处理 8,缓冲区溢出攻击 (七)、Web安全审计和使用日志跟踪安全相关事件 1,将日志写入文件/数据库 2,使用系统安全日志 3,日志异常与跟踪 4,调查取证 (八)、Web入侵防御实战与环境搭建 1,本地Web环境搭建:通过IIS搭建asp.、php、jsp、ftp环境 2,信息收集探测与扫描:利用googlehack、Nmap、Scscannrr、WVS,IBMappScan进行探测与扫描; 3,入侵方式与防御:SQL注入、二次高级注入、绕过,XSS、文件上传、php碰撞、脚本攻击、编辑器漏洞、中转注入、远程代码执行、包含漏洞、遍历目录、暴力破解、终端绕过与突破、旁注与C段、FTP弱口令破解、msf渗透、数据库脱裤与破解、提权; 4,漏洞挖掘与0day 5,社会工程学 6,怎么样才能使您的服务器与WEB站点更安全; 7,内网渗透测试,网络异常数据分析,内网渗透测试原理与实践; 如果您想学习本课程,请预约报名
如果没找到合适的课程或有特殊培训需求,请订制培训 除培训外,同时提供相关技术咨询与技术支持服务,有需求请发需求表到邮箱soft@info-soft.cn,或致电4007991916 技术服务需求表点击在线申请 服务特点: 海量专家资源,精准匹配相关行业,相关项目专家,针对实际需求,顾问式咨询,互动式授课,案例教学,小班授课,实际项目演示,快捷高效,省时省力省钱。 专家力量: 中国科学院软件研究所,计算研究所高级研究人员 oracle,微软,vmware,MSC,Ansys,candence,Altium,达索等大型公司高级工程师,项目经理,技术支持专家 中科信软培训中心,资深专家或讲师 大多名牌大学,硕士以上学历,相关技术专业,理论素养丰富 多年实际项目经历,大型项目实战案例,热情,乐于技术分享 针对客户实际需求,案例教学,互动式沟通,学有所获 |
|
