課程大綱: Web滲透與安全滲透測試培訓
(一)、安全大事件回顧與思考安全真實案例回顧與討論
1,安全都涉及什么
2,如何來預防安全事故
3,安全測試的目標和范圍
4,安全原理:威脅建模標識資源(敏感數(shù)據(jù))
5,創(chuàng)建總體體系結構
6,分解應用程序標識特權代碼
7,識別威脅、記錄威脅、評價威脅
(二)、Web安全需求分析
1,列出資源:業(yè)務數(shù)據(jù),應用程序,服務,配置數(shù)據(jù),頁面
2,建立資源分布圖,確定資源位置
3,確定資源信任邊界
4,確定資源授權范圍
5,建立資源防范目錄
(三)、Web應用漏洞及檢測方法常見的操作系統(tǒng)漏洞和檢查方法
1,常見的數(shù)據(jù)庫漏洞和檢查方法
2,Web服務漏洞和檢查方法
3,網絡通信漏洞和檢查方法
4,配置文件漏洞和檢查方法
5,其他資源漏洞和檢查方法
6,設計安全測試用例確定安全測試點
7,預見可能的入侵事件
8,分析入侵事件的觸發(fā)條件
(四)、Web入侵常用工具的介紹與使用
1,常見攻擊工具Mpack
2,Neosploit
3,ZeuS
4,NukesploitP4ck
5,Phoenix
6,常見安全檢查工具IBMRationalAppScan
7,WebInspect
8,NStalker-WAS
9,AcuixWebVulnerabilityScanner(WVS)
10,基礎常用工具:明小子、御劍、穿山甲、中國菜刀等
(五)、Web信息收集與安全檢測
1,信息收集
2,探查、踩點
3,欺騙
4,會話劫持
5,中間人攻擊
6,安全檢測、病毒、特洛伊木馬和蠕蟲
7,破解密碼
8,拒絕服務
9,任意執(zhí)行代碼
10,未授權訪問
(六)、Web應用常見威脅及其對策
1,標準化漏洞
2,身份驗證相關的威脅及其對策
3,針對授權的威脅及其對策
4,針對配置管理的威脅及對策
5,安全的加密
6,對抗針對操作
7,異常處理
8,緩沖區(qū)溢出攻擊
(七)、Web安全審計和使用日志跟蹤安全相關事件
1,將日志寫入文件/數(shù)據(jù)庫
2,使用系統(tǒng)安全日志
3,日志異常與跟蹤
4,調查取證
(八)、Web入侵防御實戰(zhàn)與環(huán)境搭建
1,本地Web環(huán)境搭建:通過IIS搭建asp.、php、jsp、ftp環(huán)境
2,信息收集探測與掃描:利用googlehack、Nmap、Scscannrr、WVS,IBMappScan進行探測與掃描;
3,入侵方式與防御:SQL注入、二次高級注入、繞過,XSS、文件上傳、php碰撞、腳本攻擊、編輯器漏洞、
中轉注入、遠程代碼執(zhí)行、包含漏洞、遍歷目錄、暴力破解、終端繞過與突破、旁注與C段、FTP弱口令破解、msf滲透、數(shù)據(jù)庫脫褲與破解、提權;
4,漏洞挖掘與0day
5,社會工程學
6,怎么樣才能使您的服務器與WEB站點更安全;
7,內網滲透測試,網絡異常數(shù)據(jù)分析,內網滲透測試原理與實踐;
加入高級會員獲得助教答疑
