渗透测试实战专题课程方案
培训背景
我们的系统正在遭受各种各样的安全的恶意攻击,窃取关键数据、击毁关键服务、修改关键信息等,如何进行全面有效的系统评估。
本次课程围绕渗透测试技术,通过设计安全测试用例及使用渗透测试工具,迅速全面的查找安全漏洞。该课程还将深度分析主要攻击的原理及安全防御建设思路。通过实际案例和实际工具的操作练习,使参训人员掌握渗透测试的技术、工具、原理及实施方法,并以安全为核心、掌握安全设计、安全编码、安全运营,形成安全防御的整套解决思路。即学即用。学员在学习过程中直接对自己的软件产品进行安全评估、安全渗透及疑难解答。
培训收益
掌握渗透测试全面实战及应用过程 :(一下是部分渗透测试内容截图)
培训特色
1.实用—迅速应用到具体工作产品中;
2.实战—现场练习指导;
3.实现—当堂输出成果。
课程大纲
知识单元 | 学习内容 |
---|---|
渗透测试基础: 网络安全与 应用安全 |
1.什么是网络安全; 2.网络安全的常见防御方法(IPS/IDS/防火墙) ; 3.软件应用安全现状及常见攻击方式 ; 4.软件应用安全测试的方式及原理 ; 5.安全测试的十大原则; 6.安全静态测试技术、安全动态测试技术; 7.软件安全标准:安全规范、安全测试标准、安全编码标准、安全等级标准等; 8.如何构建安全的防御体系; 9.黑客攻击的基本过程; 10.渗透测试的基本过程; 11.Nmap工具综合实战: ●Nmap是不局限于仅仅收集信息和枚举,同时可以用来作为一个漏洞探测器或安全扫描器。它可以适用于inodws,linux,mac等操作系统; ●Nmap综合实战练习。 |
渗透测试实战1: 应用安全漏洞及 渗透测试 |
1.攻防练习系统的搭建,包括web应用、数据库搭建; 2.攻防练习主要攻击搭建、安装; 3.常见应用安全漏洞攻击原理深度分析及对应测试方法、工具(该部分随讲师一起练习测试工具及部分攻击方法): ●Sql注入、XML注入的原理、防御、测试与测试工具(SQL Inject Me/Pangolin); ●跨站脚本XSS的原理、防御、测试与测试工具; ●身份认证和会话管理不当的原理、防御、测试与测试工具(WebScrab); ●不安全的对象直接引用的原理、防御、测试与测试工具(Burp); ●跨站请求伪造CSRF的原理、防御、测试与测试工具(CSRFTester); ●安全配置错误的原理、防御、测试与测试工具(watobo); ●URL访问控制不当的原理、防御、测试与测试工具(nikto); ●不安全的通信的原理、防御、测试与测试工具(Calomel); ●未经认证的重定向和转发的原理、防御、测试与测试工具(Watcher); ●其他应用安全项渗透测试详解。 |
渗透测试实战2: 数据安全漏洞及 渗透测试 |
1.SQLMAP渗透爆破工具详解及练习:破解数据库、字段、内容 ; 2.暴力破解账号工具详解与实战; 3.数据库检查项及渗透测试项及其练习; |
渗透测试实战3: 手机app渗透测试 |
1.详解手机app渗透测试项列表及渗透测试方法; 2.反编译及逆向工程详解及渗透测试工具; 3.Drozer手机安全渗透工具详解; 4.App本地存储安全、账号安全、内存安全; 5.App会话及认证安全; 6.App业务应用安全:鉴权、验证绕过、注入、目录遍历、上传下载、短信炸弹、文件包含、组件安全等79项安全渗透项的渗透方法和工具详解与练习; 7.综合性app安全渗透工具详解与使用。 |
综合性安全渗透 测试工具详解 |
1.深度了解APPSCAN:原理、攻击样本、使用方法、专家分析及解决方案使用、生成报告; 2.Buresuite/ZAP,两个开源综合性安全测试工具的使用方法、原理及测试结果分析; 3.静态代码安全审计方法及工具详解:Lapse/fortify; 4.Fiddler:能够记录并检查所有你的电脑和互联网之间的http通讯,设置断点,查看所有的“进出”Fiddler的数据;练习与详解; 5.Struts2_045漏洞监测工具; 6.穿山甲、菜刀、御剑、小葵解码器在渗透测试中的应用场景及应用方法详解、练习与使用; 7.Webinspect综合性安全测试工具使用详解; 8.Nessus综合性安全测试工具详解; 9.如何组合使用各种渗透工具达到渗透测试效果; 10.安全测试工具发现的问题的归类及修改顺序、修改优先级。 |
渗透测试综合 攻防演练 | 渗透测试综合攻防演练。 |
安全设计 安全编码 安全运营 |
1.安全设计主要关注点,从源头解决安全问题; 2.安全编码方法、安全函数; 3.建立安全运营机制及体系。 |