昆明達(dá)內(nèi)教育

課程詳情

Web滲透防御

網(wǎng)絡(luò)安全培訓(xùn)課程學(xué)習(xí)目標(biāo)：

1.熟悉Web平臺(tái)項(xiàng)目結(jié)構(gòu)、網(wǎng)站應(yīng)用的基礎(chǔ)開(kāi)發(fā)、網(wǎng)站應(yīng)用部署過(guò)程，掌握各種網(wǎng)絡(luò)攻擊的路徑和流程。

2.掌握信息收集的方法和常用工具、漏洞及利用的方法和工具，能夠針對(duì)目標(biāo)網(wǎng)站執(zhí)行有效的漏洞分析。

3.熟悉OWASPTop10十大網(wǎng)站漏洞原理、漏洞利用方式和漏洞修復(fù)建議，能夠部署WAF網(wǎng)站應(yīng)用防火墻，并合理編寫(xiě)防護(hù)規(guī)則。

4.掌握網(wǎng)站SQL注入攻擊的常用方法，包括數(shù)字/字符型注入、搜索性注入、報(bào)錯(cuò)注入、布爾盲注、時(shí)間盲注、寬字節(jié)注入、二次注入等，學(xué)會(huì)使用手工注入及Sqlmap工具注入。

5.掌握Windows提權(quán)、Linux提權(quán)、數(shù)據(jù)庫(kù)提權(quán)、第三方軟件提權(quán)等常用的提權(quán)方法，掌握Windows權(quán)限維持、Linux權(quán)限維持、滲透測(cè)試框架權(quán)限維持等常用的權(quán)限維持方法，掌握常見(jiàn)免殺工具的使用。

6.能夠使用內(nèi)網(wǎng)滲透代理，**搜集及利用內(nèi)網(wǎng)信息，掌握常見(jiàn)的后滲透攻擊方法。

7.能夠規(guī)劃并部署信息系統(tǒng)的安全加固策略，包括Windows/Linux操作系統(tǒng)安全加固、Apache網(wǎng)站安全加固、MySQL/MariaDB數(shù)據(jù)庫(kù)安全加固等。

8.能夠編寫(xiě)滲透測(cè)試方案，完成滲透測(cè)試授權(quán)和測(cè)試備案、準(zhǔn)備滲透測(cè)試環(huán)境、編寫(xiě)滲透測(cè)試報(bào)告，以及實(shí)施滲透測(cè)試報(bào)告的匯報(bào)，掌握漏洞復(fù)測(cè)方法，能針對(duì)常見(jiàn)漏洞提供合理的修復(fù)建議。

網(wǎng)絡(luò)安全培訓(xùn)課程Web應(yīng)用基礎(chǔ)

網(wǎng)絡(luò)安全培訓(xùn)課程核心技能：

1.Web應(yīng)用平臺(tái)：Web應(yīng)用環(huán)境部署、WEB應(yīng)用組成及工作流程、B/Sj架構(gòu)、網(wǎng)站前端與服務(wù)器端、FireFox瀏覽器插件、VSCode安裝及基礎(chǔ)配置

2.HTML超文本標(biāo)記：HTML頁(yè)面結(jié)構(gòu)、常用文本標(biāo)簽、結(jié)構(gòu)標(biāo)簽、標(biāo)簽屬性、超鏈接、圖片引入、圖片鏈接、表單標(biāo)簽、表單元素屬性、表單控件、控件屬性、iframe網(wǎng)頁(yè)內(nèi)嵌、iframe樣式設(shè)置

3.JavaScript/JS：CSS層疊樣式表、JavaScript語(yǔ)言基礎(chǔ)、ECMAScript、輸入輸出、變量、數(shù)據(jù)類(lèi)型、運(yùn)算符、流程控制、循環(huán)結(jié)構(gòu)、函數(shù)、對(duì)象、JS使用方式、DOM文檔對(duì)象模型、元素綁定事件操作、BOM瀏覽器對(duì)象模型

4.數(shù)據(jù)庫(kù)：SQL數(shù)據(jù)庫(kù)基礎(chǔ)、建庫(kù)建表、刪庫(kù)刪表、數(shù)據(jù)類(lèi)型、屬性、約束、SQL數(shù)據(jù)基本增刪改查操作、orderby應(yīng)用、union查詢、MySQL元數(shù)據(jù)庫(kù)information_schema介紹

5.PHP基礎(chǔ)：HTTP超文本傳輸協(xié)議、HTTP請(qǐng)求/響應(yīng)、HTTP狀態(tài)碼、PHP語(yǔ)言基礎(chǔ)、變量、數(shù)據(jù)類(lèi)型、運(yùn)算符、流程控制、循環(huán)結(jié)構(gòu)、函數(shù)、數(shù)組及遍歷、類(lèi)和對(duì)象、OOP面向?qū)ο缶幊?

6.PHP進(jìn)階：函數(shù)安全應(yīng)用、超級(jí)全局變量、表單傳參與數(shù)據(jù)接收、表單過(guò)濾、正則表達(dá)式校驗(yàn)、Cookie和Session會(huì)話、MySQLi連接數(shù)據(jù)庫(kù)、建庫(kù)建表/增刪改查、MySQLi預(yù)處理

網(wǎng)絡(luò)安全培訓(xùn)課程項(xiàng)目貫穿：

1.使用HTML設(shè)計(jì)網(wǎng)頁(yè)：HTML常用標(biāo)簽樣式、HTML表單屬性設(shè)置、表單控件、iframe標(biāo)簽內(nèi)嵌外部網(wǎng)頁(yè)、iframe網(wǎng)站全屏內(nèi)嵌

2.JavaScript網(wǎng)頁(yè)應(yīng)用檢測(cè)：CSS內(nèi)聯(lián)、內(nèi)嵌、外鏈?zhǔn)褂梅绞健avaScript平年閏年判斷、分?jǐn)?shù)定級(jí)判斷、函數(shù)完成判斷數(shù)據(jù)大小操作、對(duì)象聲明及取值賦值操作

3.SQL數(shù)據(jù)庫(kù)設(shè)計(jì)和開(kāi)發(fā)：SQL語(yǔ)句建庫(kù)操作、SQL建表操作、刪庫(kù)刪表、數(shù)據(jù)的增刪改查、PHP對(duì)象聲明及取值賦值、PHP構(gòu)造函數(shù)應(yīng)用

4.網(wǎng)頁(yè)表單驗(yàn)證：表單制作、表單驗(yàn)證、使用Session和Cookie完成登錄操作、使用Session完成文章展示瀏覽量功能

網(wǎng)絡(luò)安全培訓(xùn)課程SQL注入

網(wǎng)絡(luò)安全培訓(xùn)課程核心技能：

1.普通手動(dòng)SQL注入：SQL注入原理、SQL注入分類(lèi)、判斷SQL注入點(diǎn)、orderby判斷表字段數(shù)量、union確定網(wǎng)頁(yè)顯示字段、union獲取數(shù)據(jù)庫(kù)名、借助information_schema元數(shù)據(jù)庫(kù)獲取數(shù)據(jù)表名、獲取字段名、拖庫(kù)、加密數(shù)據(jù)解密

2.SQL盲注、BurpSuite輔助SQL注入：判斷注入點(diǎn)、手動(dòng)構(gòu)造SQL判斷獲取數(shù)據(jù)庫(kù)名、手動(dòng)構(gòu)造SQL獲取數(shù)據(jù)表名、手動(dòng)構(gòu)造SQL獲取字段名、手動(dòng)構(gòu)造SQL拖庫(kù)、加密數(shù)據(jù)解密、BurpSuite數(shù)據(jù)庫(kù)名爆破、、BurpSuite數(shù)據(jù)表名爆破、BurpSuite字段名爆破、BurpSuite數(shù)據(jù)爆破

3.sqlmap自動(dòng)SQL注入、SQL注入防護(hù)：sqlmap判斷SQL注入點(diǎn)、sqlmap命令獲取網(wǎng)站所有數(shù)據(jù)庫(kù)名、sqlmap命令獲取網(wǎng)站使用數(shù)據(jù)庫(kù)名、sqlmap命令獲取數(shù)據(jù)庫(kù)中所有數(shù)據(jù)表名、sqlmap命令獲取所有表字段名、sqlmap命令拖庫(kù)到本地、sqlmap加密數(shù)據(jù)自動(dòng)解密、代碼層面SQL注入防護(hù)、服務(wù)器配置層面SQL注入防護(hù)、WAF應(yīng)用SQL注入防護(hù)

網(wǎng)絡(luò)安全培訓(xùn)課程項(xiàng)目貫穿：

1.普通手動(dòng)SQL注入：手動(dòng)判斷SQL注入點(diǎn)、手動(dòng)猜解表字段數(shù)量、手動(dòng)確定網(wǎng)頁(yè)顯示字段、手動(dòng)確定數(shù)據(jù)庫(kù)名、手動(dòng)獲取數(shù)據(jù)表名、手動(dòng)獲取表字段名、手動(dòng)拖庫(kù)、手動(dòng)數(shù)據(jù)解密

2.SQL盲注、BurpSuite輔助SQL注入：使用手動(dòng)方式對(duì)無(wú)回顯報(bào)錯(cuò)頁(yè)面進(jìn)行SQL盲注拖庫(kù)、使用BurpSuite軟件輔助SQL盲注拖庫(kù)

3.sqlmap自動(dòng)SQL注入、SQL注入防護(hù)：掌握sqlmap獲取所有數(shù)據(jù)庫(kù)命令、獲取正在使用數(shù)據(jù)庫(kù)命令、獲取所有數(shù)據(jù)表命令、獲取所有表字段命令、拖庫(kù)命令、掌握SQL注入防御措施、代碼層面SQL注入防護(hù)、服務(wù)器配置層面SQL注入防護(hù)、WAF應(yīng)用安裝與SQL注入防護(hù)

網(wǎng)絡(luò)安全培訓(xùn)課程Web安全

網(wǎng)絡(luò)安全培訓(xùn)課程核心技能：

1.Web應(yīng)用安全概念：Web應(yīng)用安全的重要性、Web安全事件、Web應(yīng)用的體系結(jié)構(gòu)、OWASP開(kāi)源組織介紹、OWASPTOP10簡(jiǎn)介

2.OWASPTOP10原理、利用方式及漏洞修復(fù)：XSS跨站腳本、存儲(chǔ)型XSS、反射型XSS、DOM型XSS、CSRF/SSRF漏洞、RCE原理、文件上傳漏洞、文件包含漏洞、序列化/反序列化漏洞、XML文檔、XXE漏洞、邏輯漏洞

3.靶場(chǎng)部署及應(yīng)用：基于DVWA靶場(chǎng)的CSRF實(shí)踐、基于DVWA靶場(chǎng)的RCE實(shí)踐、基于DWWA靶場(chǎng)的文件上傳漏洞實(shí)踐、基于DVWA靶場(chǎng)的文件包含漏洞實(shí)踐、基于pikachu靶場(chǎng)的SSRF實(shí)踐、基于pikachu靶場(chǎng)的爆破實(shí)驗(yàn)、基于upload-labs靶場(chǎng)的文件上傳漏洞實(shí)踐、基于pikachu靶場(chǎng)的文件包含漏洞實(shí)踐、基于pikachu靶場(chǎng)的水平越權(quán)實(shí)踐及漏洞修復(fù)

4.代碼審計(jì)：代碼審計(jì)的概念、代碼的審計(jì)步驟、代碼審計(jì)的方法、代碼審計(jì)工具的使用

網(wǎng)絡(luò)安全培訓(xùn)課程項(xiàng)目貫穿：

1.基于pikachu靶場(chǎng)的攻防實(shí)踐：暴力破解、XSS漏洞、CSRF漏洞、RCE漏洞、文件包含漏洞、越權(quán)漏洞、反序列化漏洞、XXE漏洞、SSRF漏洞

2.基于DVWA靶場(chǎng)的攻防實(shí)踐：命令注入漏洞、文件包含漏洞、文件上傳漏洞、XSS漏洞、CSRF漏洞、命令注入漏洞

3.基于upload-labs的攻防實(shí)踐：pass01-前端檢查繞過(guò)、pass02-文件類(lèi)型繞過(guò)、pass03~pass08-文件后綴繞過(guò)

4.使用seay代碼審計(jì)工具對(duì)blueCMS進(jìn)行代碼審計(jì)

網(wǎng)絡(luò)安全培訓(xùn)課程安全加固

網(wǎng)絡(luò)安全培訓(xùn)課程核心技能：

1.WAF網(wǎng)站應(yīng)用防火墻：WAF的概念、功能和分類(lèi)、ModSecurity規(guī)則、Ubuntu搭建測(cè)試靶機(jī)、OWASP規(guī)則集的部署、WAF繞過(guò)技術(shù)、WAF繞過(guò)實(shí)驗(yàn)

2.Windows安全加固：Windows身份鑒別、Windows訪問(wèn)控制、Windows安全審計(jì)、Windows入侵防范

3.Linux安全加固：Linux身份鑒別、Linux訪問(wèn)控制、Linux安全審計(jì)、Linux入侵防范

4.數(shù)據(jù)庫(kù)安全加固：MySQL身份鑒別、MySQL訪問(wèn)控制、MySQL安全審計(jì)、MySQL入侵防范、MySQL其它安全配置

5.Apache安全加固：Apache身份鑒別、Apache訪問(wèn)控制、Apache安全審計(jì)、Apache入侵防范、Apache惡意代碼防范、Apache數(shù)據(jù)保密

網(wǎng)絡(luò)安全培訓(xùn)課程項(xiàng)目貫穿：

1.開(kāi)源WAF-modsecurity實(shí)踐：LAMP環(huán)境安裝部署、DVWA安裝部署、編寫(xiě)modsecurity規(guī)則集、OWASP規(guī)則集的部署

2.Windows系統(tǒng)加固：組權(quán)限、密碼策略、本地策略、審核策略、用戶權(quán)限指派、安全選項(xiàng)、關(guān)閉或限制文件共享、關(guān)閉不必要的服務(wù)或限制服務(wù)權(quán)限、防火墻、日志審計(jì)、關(guān)閉自動(dòng)播放

3.Linux系統(tǒng)加固：保護(hù)root賬戶、清除系統(tǒng)多余賬戶、檢測(cè)空口令賬戶、禁用危險(xiǎn)服務(wù)、關(guān)閉非必要服務(wù)、syslog日志服務(wù)

4.MySQL數(shù)據(jù)庫(kù)的用戶控制：修改root用戶名、禁止root賬號(hào)遠(yuǎn)程登錄、刪除危險(xiǎn)賬戶、文件操作控制、網(wǎng)絡(luò)訪問(wèn)限制

5.Apache安全配置：開(kāi)發(fā)安全、服務(wù)器降權(quán)運(yùn)行、目錄權(quán)限控制、服務(wù)器配置安全、傳輸安全、文件安全、外圍加固

網(wǎng)絡(luò)安全培訓(xùn)課程滲透測(cè)試實(shí)戰(zhàn)核心技能：

1.CTF奪旗實(shí)戰(zhàn)：CTF奪旗賽制、紅藍(lán)對(duì)抗、基于CTF靶場(chǎng)DC-5的滲透測(cè)試

2.滲透測(cè)試實(shí)戰(zhàn)：滲透測(cè)試流程、編寫(xiě)滲透測(cè)試方案、滲透測(cè)試授權(quán)和測(cè)試備案、滲透測(cè)試環(huán)境準(zhǔn)備、滲透測(cè)試報(bào)告的編制、滲透測(cè)試報(bào)告的匯報(bào)、常見(jiàn)漏洞的修復(fù)建議、漏洞復(fù)測(cè)

網(wǎng)絡(luò)安全培訓(xùn)課程項(xiàng)目貫穿：

1.DC-5滲透測(cè)試：DC-5的安裝和部署、NMAP掃描內(nèi)網(wǎng)和服務(wù)、瀏覽DC-5網(wǎng)站、御劍后臺(tái)目錄掃描、利用Get參數(shù)上傳一句話木馬、使用中國(guó)蟻劍連接DC-5、使用NC工具反彈連接DC-5、查找suid權(quán)限的文件、利用screen4.5漏洞提權(quán)、獲取flag

2.Joomla滲透測(cè)試：Joomla的安裝和部署、Joomla中文簡(jiǎn)體語(yǔ)言包的安裝、使用awvs掃描Joomla、手工驗(yàn)證CVE-2018-8045漏洞、使用Sqlmap對(duì)CVE-2018-8045漏洞利用、手工驗(yàn)證CVE-2017-7986漏洞、CVE-2017-7986漏洞利用、編寫(xiě)滲透測(cè)試報(bào)告。