Web安全测试实战课程
阶段一:Web安全意识养成
课时:2
课程内容: (1)网络安全案例,及其深远影响 (2)安全基础https协议及同源策略 (3)威胁分析模型 (4)ISO7498-2标准
掌握能力: (1)初步养成网络安全意识 (2)了解常见的威胁分析方式和攻击手段
阶段二:Web安全工具使用
课时:2
课程内容: (1)抓包工具使用:fiddler、BurpSuite、stream (2)Web安全扫描工具:AWVS、BurpSuite、Appscan、SQLMap (3)目录遍历工具:DirBuster (4)服务器漏洞扫描工具:Nmap、Nessus (5)敏感信息排查工具:Seninfo (6)开源CVE漏洞扫描工具:OpenVAS
掌握能力: (1)熟练使用BurpSuite抓包,代理,分析http请求 (2)熟练使用常规web安全扫描工具进行漏洞挖掘 (3)开源CVE漏洞扫描和分析
阶段三:密码算法与密钥管理
课时:2
课程内容: (1)对称加密算法AES-GCM128(原理,用途,优缺点) (2)非对称加密算法RSA256 (3)常见的不安全加密算法MD5、DES、SHA-1、RC2 (4)密钥管理安全(原理,用途,优缺点)
掌握能力: (1)掌握对称加密算法AES-GCM128 (2)掌握非对称加密算法RSA256 (3)了解密钥存储安全要求
阶段四:服务器加固
课时:1
课程内容: (1)应用服务器加固 (含文件服务器加固及邮件服务器) (2)数据库服务器加固
掌握能力: (1)掌握服务器加固项,通过一系列安全措施和配置来提升服务器的安全性,从而减少服务器面临的安全威胁和攻击的可能性
阶段五:身份认证与访问控制
课时:2
课程内容: (1)身份认证分类(静态认证+动态认证) (2)身份认证绕过 (3)弱口令爆破
掌握能力: (1)掌握口令爆破手段 (2)掌握单点登录、认证管理、基于策略的集中式授权和审计、动态授权、掌握动态认证的方式和绕过攻击方式
阶段六:越权漏洞利用
课时:1
课程内容: (1)越权分类 (2)越权利用 (3)逻辑漏洞
掌握能力: (1)通过越权漏洞获取系统重要数据信息或者更高权限的管理操作 (2)熟练通过API绕过前端构造http请求进行黑盒越权测试 (3)合理权限控制设计防御越权漏洞
阶段七:信息泄露与收集
课时:2
课程内容: (1)端口扫描 (2)网站目录遍历收集 (3)敏感文件泄露 (4)邮件服务器泄露 (5)Cookie泄露 (6)本地缓存获取 (7)浏览历史记录获取 (8)Activex控件泄露 (9)日志泄露
掌握内容: (1)掌握信息收集的内容、途径、以及敏感信息的收集 (2)掌握个人隐私数据,企业机密数据的泄露的方式和途径
阶段八:请求劫持与伪造
课时:2
课程内容: (1)劫持攻击(session劫持,HTTP劫持,DNS劫持点击劫持,拖放劫持,触屏劫持) (2)CSRF跨站请求伪造与防御
掌握能力: (1)掌握点击劫持攻击和防御 (2)理解csrf实战攻击和防御
阶段九:Web常见的注入攻击
课时:4
课程内容:(1)sql注入与防御(暴库) (2)跨站脚本攻击(XSS) (3)Xml格式注入(XXE) (4)反序列化注入与防御 (5)命令注入与防御 (6)日志注入与防御(CRLF)
掌握能力: (1)掌握注入常见的攻击与防御:sql盲注,sql暴库,爆表、xss漏洞、xml注入漏洞、反序列化漏洞攻、命令注入漏洞、日志注入漏洞的攻击和防御
阶段十:文件上传漏洞攻击
课时:2
课程内容: (1)上传木马户获取webshell权限(截断上传,双重后缀上传,解析漏洞上传) (2)上传zip炸弹导致服务器崩溃
掌握能力: (1)掌握文件上传漏洞原理和攻击方式 (2)演练zip炸弹制作与利用
阶段十一:高危CVE漏洞的利用与防护
课时:0.5
课程内容: (1)高危CVE漏洞利用 (2)高危CVE漏洞防御
掌握能力: (1)认识开源CVE漏洞 (2)**闭环CVE漏洞
阶段十二:Dos攻击与资源耗尽
课时:2
课程内容: (1)ddos (2)redos (3)zip炸弹 (4)xxe炸弹 (5)服务器运行资源耗尽(数据库存储资源耗尽,短信和邮件资源耗尽)
掌握能力: (1)理解DOS攻击的原理和对系统资源的危害 (2)了解泛洪攻击DDOS方式 (3)掌握正则表达式ReDos,实战文件炸弹攻击
阶段十三:TOP10漏洞攻防
课时:3
课程内容: (1)注入 (2)失效的身份 (3)敏感信息泄露 (4)Xml外部实体 (5)失效的访问控制 (6)安全配置 (7)跨站脚本(xss) (8)不安全的发序列化 (9)用已知漏洞的组件 (10)不足的日志记录与监控
掌握能力: (1)了解并掌握业界常见TOP10安全漏洞的攻击模式 (2)熟悉常规TOP10防御模式
阶段十四:隐私保护解读
课时:1.5
课程内容: (1)中国个人信息保护法解读 (2)匿名化与假名化 (3)个人敏感信息收集与传输安全
掌握能力: (1)掌握个人隐私数据的判断原则 (2)掌握个保法适用范围 (3)了解个人数据的安全存储和传输要求
阶段十五:Web安全测试项目实训
课时:5
课程内容: (1)网络安全红线 (2)网络安全用例 (3)项目实训 掌握能力: (1)综合掌握网络红线的规则要求 (2)Web实战安全测试实战,安全漏洞渗透挖掘
开班提醒 ]
