培训背景
我们的系统正在遭受各种各样的安全的恶意攻击,窃取关键数据、击毁关键服务、修改关键信息等,如何进行全面有效的系统评估。
本次课程围绕渗透测试技术,通过设计安全测试用例及使用渗透测试工具,迅速全面的查找安全漏洞。该课程还将深度分析主要攻击的原理及安全防御建设思路。通过实际案例和实际工具的操作练习,使参训人员掌握渗透测试的技术、工具、原理及实施方法,并以安全为核心、掌握安全设计、安全编码、安全运营,形成安全防御的整套解决思路。即学即用。学员在学习过程中直接对自己的软件产品进行安全评估、安全渗透及疑难解答。
培训收益
掌握渗透测试全面实战及应用过程 :(一下是部分渗透测试内容截图)
培训特色
1.实用—迅速应用到具体工作产品中;
2.实战—现场练习指导;
3.实现—当堂输出成果。
课程大纲
知识单元
|
学习内容
|
渗透测试基础:
网络安全与
应用安全
|
1.什么是网络安全;
2.网络安全的常见防御方法(IPS/IDS/防火墙) ;
3.软件应用安全现状及常见攻击方式 ;
4.软件应用安全测试的方式及原理 ;
5.安全测试的十大原则;
6.安全静态测试技术、安全动态测试技术;
7.软件安全标准:安全规范、安全测试标准、安全编码标准、安全等级标准等;
8.如何构建安全的防御体系;
9.黑客攻击的基本过程;
10.渗透测试的基本过程;
11.Nmap工具综合实战:
●Nmap是不局限于仅仅收集信息和枚举,同时可以用来作为一个漏洞探测器或安全扫描器。它可以适用于inodws,linux,mac等操作系统;
●Nmap综合实战练习。
|
渗透测试实战1:
应用安全漏洞及
渗透测试
|
1.攻防练习系统的搭建,包括web应用、数据库搭建;
2.攻防练习主要攻击搭建、安装;
3.常见应用安全漏洞攻击原理深度分析及对应测试方法、工具(该部分随讲师一起练习测试工具及部分攻击方法):
●Sql注入、XML注入的原理、防御、测试与测试工具(SQL Inject Me/Pangolin);
●跨站脚本XSS的原理、防御、测试与测试工具;
●身份认证和会话管理不当的原理、防御、测试与测试工具(WebScrab);
●不安全的对象直接引用的原理、防御、测试与测试工具(Burp);
●跨站请求伪造CSRF的原理、防御、测试与测试工具(CSRFTester);
●安全配置错误的原理、防御、测试与测试工具(watobo);
●URL访问控制不当的原理、防御、测试与测试工具(nikto);
●不安全的通信的原理、防御、测试与测试工具(Calomel);
●未经认证的重定向和转发的原理、防御、测试与测试工具(Watcher);
●其他应用安全项渗透测试详解。
|
渗透测试实战2:
数据安全漏洞及
渗透测试
|
1.SQLMAP渗透爆破工具详解及练习:破解数据库、字段、内容 ;
2.暴力破解账号工具详解与实战;
3.数据库检查项及渗透测试项及其练习;
|
渗透测试实战3:
手机app渗透测试
|
1.详解手机app渗透测试项列表及渗透测试方法;
2.反编译及逆向工程详解及渗透测试工具;
3.Drozer手机安全渗透工具详解;
4.App本地存储安全、账号安全、内存安全;
5.App会话及认证安全;
6.App业务应用安全:鉴权、验证绕过、注入、目录遍历、上传下载、短信炸弹、文件包含、组件安全等79项安全渗透项的渗透方法和工具详解与练习;
7.综合性app安全渗透工具详解与使用。
|
综合性安全渗透
测试工具详解
|
1.深度了解APPSCAN:原理、攻击样本、使用方法、专家分析及解决方案使用、生成报告;
2.Buresuite/ZAP,两个开源综合性安全测试工具的使用方法、原理及测试结果分析;
3.静态代码安全审计方法及工具详解:Lapse/fortify;
4.Fiddler:能够记录并检查所有你的电脑和互联网之间的http通讯,设置断点,查看所有的“进出”Fiddler的数据;练习与详解;
5.Struts2_045漏洞监测工具;
6.穿山甲、菜刀、御剑、小葵解码器在渗透测试中的应用场景及应用方法详解、练习与使用;
7.Webinspect综合性安全测试工具使用详解;
8.Nessus综合性安全测试工具详解;
9.如何组合使用各种渗透工具达到渗透测试效果;
10.安全测试工具发现的问题的归类及修改顺序、修改优先级。
|
渗透测试综合
攻防演练
|
渗透测试综合攻防演练。
|
安全设计
安全编码
安全运营
|
1.安全设计主要关注点,从源头解决安全问题;
2.安全编码方法、安全函数;
3.建立安全运营机制及体系。
|