您現(xiàn)在的位置：首頁 > 企業(yè)內(nèi)訓 > 信息安全 > 滲透測試實戰(zhàn)專題課程方案

滲透測試實戰(zhàn)專題課程方案

2020-07-02 15:23:53　|　來源：中培企業(yè)IT培訓網(wǎng)

培訓背景

我們的系統(tǒng)正在遭受各種各樣的安全的惡意攻擊，竊取關(guān)鍵數(shù)據(jù)、擊毀關(guān)鍵服務、修改關(guān)鍵信息等，如何進行全面有效的系統(tǒng)評估。

本次課程圍繞滲透測試技術(shù)，通過設計安全測試用例及使用滲透測試工具，迅速全面的查找安全漏洞。該課程還將深度分析主要攻擊的原理及安全防御建設思路。通過實際案例和實際工具的操作練習，使參訓人員掌握滲透測試的技術(shù)、工具、原理及實施方法，并以安全為核心、掌握安全設計、安全編碼、安全運營，形成安全防御的整套解決思路。即學即用。學員在學習過程中直接對自己的軟件產(chǎn)品進行安全評估、安全滲透及疑難解答。

培訓收益

掌握滲透測試全面實戰(zhàn)及應用過程：（一下是部分滲透測試內(nèi)容截圖）

培訓特色

1.實用—迅速應用到具體工作產(chǎn)品中；

2.實戰(zhàn)—現(xiàn)場練習指導；

3.實現(xiàn)—當堂輸出成果。

課程大綱

知識單元	學習內(nèi)容
滲透測試基礎：網(wǎng)絡安全與應用安全	1.什么是網(wǎng)絡安全； 2.網(wǎng)絡安全的常見防御方法（IPS/IDS/防火墻）； 3.軟件應用安全現(xiàn)狀及常見攻擊方式； 4.軟件應用安全測試的方式及原理； 5.安全測試的十大原則； 6.安全靜態(tài)測試技術(shù)、安全動態(tài)測試技術(shù)； 7.軟件安全標準：安全規(guī)范、安全測試標準、安全編碼標準、安全等級標準等； 8.如何構(gòu)建安全的防御體系； 9.黑客攻擊的基本過程； 10.滲透測試的基本過程； 11.Nmap工具綜合實戰(zhàn)： ●Nmap是不局限于僅僅收集信息和枚舉，同時可以用來作為一個漏洞探測器或安全掃描器。它可以適用于inodws,linux,mac等操作系統(tǒng)； ●Nmap綜合實戰(zhàn)練習。
滲透測試實戰(zhàn)1：應用安全漏洞及滲透測試	1.攻防練習系統(tǒng)的搭建，包括web應用、數(shù)據(jù)庫搭建； 2.攻防練習主要攻擊搭建、安裝； 3.常見應用安全漏洞攻擊原理深度分析及對應測試方法、工具（該部分隨講師一起練習測試工具及部分攻擊方法）： ●Sql注入、XML注入的原理、防御、測試與測試工具（SQL Inject Me/Pangolin）； ●跨站腳本XSS的原理、防御、測試與測試工具； ●身份認證和會話管理不當?shù)脑怼⒎烙y試與測試工具（WebScrab）； ●不安全的對象直接引用的原理、防御、測試與測試工具（Burp）； ●跨站請求偽造CSRF的原理、防御、測試與測試工具（CSRFTester）； ●安全配置錯誤的原理、防御、測試與測試工具（watobo）； ●URL訪問控制不當?shù)脑怼⒎烙y試與測試工具（nikto）； ●不安全的通信的原理、防御、測試與測試工具（Calomel）； ●未經(jīng)認證的重定向和轉(zhuǎn)發(fā)的原理、防御、測試與測試工具（Watcher）； ●其他應用安全項滲透測試詳解。
滲透測試實戰(zhàn)2：數(shù)據(jù)安全漏洞及滲透測試	1.SQLMAP滲透爆破工具詳解及練習：破解數(shù)據(jù)庫、字段、內(nèi)容； 2.暴力破解賬號工具詳解與實戰(zhàn)； 3.數(shù)據(jù)庫檢查項及滲透測試項及其練習；
滲透測試實戰(zhàn)3：手機app滲透測試	1.詳解手機app滲透測試項列表及滲透測試方法； 2.反編譯及逆向工程詳解及滲透測試工具； 3.Drozer手機安全滲透工具詳解； 4.App本地存儲安全、賬號安全、內(nèi)存安全； 5.App會話及認證安全； 6.App業(yè)務應用安全：鑒權(quán)、驗證繞過、注入、目錄遍歷、上傳下載、短信炸彈、文件包含、組件安全等79項安全滲透項的滲透方法和工具詳解與練習； 7.綜合性app安全滲透工具詳解與使用。
綜合性安全滲透測試工具詳解	1.深度了解APPSCAN：原理、攻擊樣本、使用方法、專家分析及解決方案使用、生成報告； 2.Buresuite/ZAP，兩個開源綜合性安全測試工具的使用方法、原理及測試結(jié)果分析； 3.靜態(tài)代碼安全審計方法及工具詳解：Lapse/fortify； 4.Fiddler：能夠記錄并檢查所有你的電腦和互聯(lián)網(wǎng)之間的http通訊，設置斷點，查看所有的“進出”Fiddler的數(shù)據(jù)；練習與詳解； 5.Struts2_045漏洞監(jiān)測工具； 6.穿山甲、菜刀、御劍、小葵解碼器在滲透測試中的應用場景及應用方法詳解、練習與使用； 7.Webinspect綜合性安全測試工具使用詳解； 8.Nessus綜合性安全測試工具詳解； 9.如何組合使用各種滲透工具達到滲透測試效果； 10.安全測試工具發(fā)現(xiàn)的問題的歸類及修改順序、修改優(yōu)先級。
滲透測試綜合攻防演練	滲透測試綜合攻防演練。
安全設計安全編碼安全運營	1.安全設計主要關(guān)注點，從源頭解決安全問題； 2.安全編碼方法、安全函數(shù)； 3.建立安全運營機制及體系。