证书查询

全国报名咨询热线
010-57197553

首页 / IT运维

渗透测试实战专题课程方案

2021-05-11

课程时间:根据客户需求安排

费用:

地点:全国

  • 课程详情
  • 适用人群
  • 课程大纲
  • 培训背景

    我们的系统正在遭受各种各样的安全的恶意攻击,窃取关键数据、击毁关键服务、修改关键信息等,如何进行全面有效的系统评估。

    本次课程围绕渗透测试技术,通过设计安全测试用例及使用渗透测试工具,迅速全面的查找安全漏洞。该课程还将深度分析主要攻击的原理及安全防御建设思路。通过实际案例和实际工具的操作练习,使参训人员掌握渗透测试的技术、工具、原理及实施方法,并以安全为核心、掌握安全设计、安全编码、安全运营,形成安全防御的整套解决思路。即学即用。学员在学习过程中直接对自己的软件产品进行安全评估、安全渗透及疑难解答。

    培训收益

    掌握渗透测试全面实战及应用过程 :(一下是部分渗透测试内容截图)

     

    培训特色

    1.实用—迅速应用到具体工作产品中;

    2.实战—现场练习指导;

    3.实现—当堂输出成果。

  • 各企事业单位、学校、医院、城市公共服务系统、大型银行等从事信息系统开发、网络建设的信息主管、技术总监以及进行数据库管理、数据分析、网络维护的相关人员等。
  • 学习内容
    渗透测试基础: 
    网络安全与
    应用安全 
    1.什么是网络安全;
    2.网络安全的常见防御方法(IPS/IDS/防火墙) ;
    3.软件应用安全现状及常见攻击方式 ;
    4.软件应用安全测试的方式及原理 ;
    5.安全测试的十大原则;
    6.安全静态测试技术、安全动态测试技术;
    7.软件安全标准:安全规范、安全测试标准、安全编码标准、安全等级标准等;
    8.如何构建安全的防御体系;
    9.黑客攻击的基本过程;
    10.渗透测试的基本过程;
    11.Nmap工具综合实战: 
    ●Nmap是不局限于仅仅收集信息和枚举,同时可以用来作为一个漏洞探测器或安全扫描器。它可以适用于inodws,linux,mac等操作系统;
    ●Nmap综合实战练习。
    渗透测试实战1:
    应用安全漏洞及
    渗透测试
    1.攻防练习系统的搭建,包括web应用、数据库搭建;
    2.攻防练习主要攻击搭建、安装;
    3.常见应用安全漏洞攻击原理深度分析及对应测试方法、工具(该部分随讲师一起练习测试工具及部分攻击方法):
    ●Sql注入、XML注入的原理、防御、测试与测试工具(SQL Inject Me/Pangolin);
    ●跨站脚本XSS的原理、防御、测试与测试工具;
    ●身份认证和会话管理不当的原理、防御、测试与测试工具(WebScrab);
    ●不安全的对象直接引用的原理、防御、测试与测试工具(Burp);
    ●跨站请求伪造CSRF的原理、防御、测试与测试工具(CSRFTester);
    ●安全配置错误的原理、防御、测试与测试工具(watobo);
    ●URL访问控制不当的原理、防御、测试与测试工具(nikto);
    ●不安全的通信的原理、防御、测试与测试工具(Calomel);
    ●未经认证的重定向和转发的原理、防御、测试与测试工具(Watcher);
    ●其他应用安全项渗透测试详解。
    渗透测试实战2: 
    数据安全漏洞及
    渗透测试
    1.SQLMAP渗透爆破工具详解及练习:破解数据库、字段、内容 ;
    2.暴力破解账号工具详解与实战; 
    3.数据库检查项及渗透测试项及其练习;
    渗透测试实战3: 
    手机app渗透测试
    1.详解手机app渗透测试项列表及渗透测试方法;
    2.反编译及逆向工程详解及渗透测试工具;
    3.Drozer手机安全渗透工具详解;
    4.App本地存储安全、账号安全、内存安全;
    5.App会话及认证安全;
    6.App业务应用安全:鉴权、验证绕过、注入、目录遍历、上传下载、短信炸弹、文件包含、组件安全等79项安全渗透项的渗透方法和工具详解与练习;
    7.综合性app安全渗透工具详解与使用。
    综合性安全渗透
    测试工具详解
    1.深度了解APPSCAN:原理、攻击样本、使用方法、专家分析及解决方案使用、生成报告;
    2.Buresuite/ZAP,两个开源综合性安全测试工具的使用方法、原理及测试结果分析;
    3.静态代码安全审计方法及工具详解:Lapse/fortify;
    4.Fiddler:能够记录并检查所有你的电脑和互联网之间的http通讯,设置断点,查看所有的“进出”Fiddler的数据;练习与详解;
    5.Struts2_045漏洞监测工具;
    6.穿山甲、菜刀、御剑、小葵解码器在渗透测试中的应用场景及应用方法详解、练习与使用;
    7.Webinspect综合性安全测试工具使用详解;
    8.Nessus综合性安全测试工具详解;
    9.如何组合使用各种渗透工具达到渗透测试效果;
    10.安全测试工具发现的问题的归类及修改顺序、修改优先级。
    渗透测试综合
    攻防演练
    渗透测试综合攻防演练。
    安全设计
    安全编码
    安全运营
    1.安全设计主要关注点,从源头解决安全问题;
    2.安全编码方法、安全函数;
    3.建立安全运营机制及体系