您现在的位置：首页 > 企业内训 > 网络安全攻防与Web渗透测试技术培训方案

网络安全攻防与Web渗透测试技术培训方案

2022-7-11 11:54:51　|　来源：中培IT学院

一、培训准备

网络要求：千兆局域网，同时联通互联网，最好采用DHCP方式自动分配地址；
机器要求：台式机或者笔记本电脑（内存4G以上）；安装vm15虚拟机环境；
靶机要求：现场提供服务器一台（CPU>8核;内存>64G;硬盘剩余>500G）。

二、培训时长
共计6天，每天6-7课时

三、培训大纲

网络安全攻防与Web渗透测试技术专项培训

第一天上午	开篇导引	讲师介绍和课程导引
		培训场景介绍
		工具课件分发
		（摸底技术测试）
	网络安全面临形势	国内外热点网络安全事件
		国外网络攻防技术趋势
		国内网络安全现状和法律法规
		当前形势下的攻防思考
第一天下午	渗透测试技术基础	渗透测试概述
		渗透测试路线图和关键技术
		渗透测试最新工具和技术平台
		漏洞分析和POC利用复现
		内网综合渗透技巧演示
		渗透测试专项演练和指导
第二天上午	WEB安全概述	WEB攻防事件和案例介绍
		WEB和HTTP协议基础
		OWASP top10概述
		WEB安全防御措施和趋势
第二天下午	WEB安全演练	文件上传、包含、XXE/XSS/CSRF/SSRF
		SQL注入、XML注入等脚本注入攻击
		反序列化和编程语言环境漏洞
		单一WEB漏洞常规演练（多个单项练习）
第三天上午	WEB攻防技术提高	手工注入技术要点和实操
		绕过WAF和安全检测的技巧
		带外攻击和无回显等技巧
		业务逻辑漏洞挖掘和演练
		代码审计和常见漏洞加固
第三天下午	WEB渗透技术综合	红日、暗月等靶机技术分析
		综合靶场实战演练（vulhub等数十个场景）
		代码审计演练和复盘分析
		多网隔离下的Web渗透技术
		金银铜综合靶机分析和复盘
第四天上午	数据库安全	数据库安全攻防技术概述
		MSSQL/MYSQL/ORACLE/安全攻防演示
		Redis、Mongodb等安全攻防演示
		数据库安全加固技术 (存储过程、数据加密、安全策略)
		数据库综合演练实操和指导
第四天下午	中间件安全	中间件概述和技术分析
		常见中间件安全攻防技术（反序列化、远程命令执行、配置不当、逻辑缺陷等）
		中间件安全加固（Tomcat、Weblogic、Websphere、Jboss、其他组件等）
		其他组件安全攻防技术演示（MQ、）
第五天上午	网络安全防护概述	攻防对抗技术对比分析
		主机安全加固和防护（Windows、Linux）
		应用系统加固防护（数据库、中间件、APP等）
		路由交换安全加固和配置
第五天下午	网路安全防护技术	防火墙和IDS等网关设备技术
		态势感知和主动防御等技术
		网络整体安全防护措施
第六天上午	信息安全监管	信息安全监管概述
		当前信息安全标准
		监管的技术和产品
		实施层面工作指南
第六天下午	计算环境安全	计算环境安全概述
		可信计算和相关标准
		计算环境安全技术和案例分析
		场景案例研讨和答疑