课程培训
WEB攻防演练-渗透测试与应急响应实践培训

课程大纲

模块

学习内容

第一天

Web系统常见威胁

渗透测试用平台/工具介绍

1、Kali(BT)平台介绍

2、appscan漏洞扫描工具简介:

3、appscan source代码扫描工具简介

4、Webinspect漏洞扫描工具简介

5、WVS扫描工具

6、Metasploit 平台简介

7、Burpsuite测试工具简介

OWASP TOP 10介绍

1、跨站脚本XSS 2、SQL注入攻击 3、不安全的直接对象引用

典型Web攻击过程

1、信息搜集和分析 2、工具扫描及结果分析 3、漏洞验证及利用 4、获取系统登录权限

5、提升权限 6、安装后门 7、嗅探和扫描其它系统 8、清理攻击痕迹

实验:Web入侵攻防演练

1、IIS+MSSQL+WIN2003攻防演练 2、Linux+Apache+Mysql+PHP攻防演练

第二天

漏洞利用演示及分析(中间件,加密)

1、Struts 2漏洞演示(中间件)

a)Struts 2漏洞利用原理分析 b)Struts 2漏洞利用攻击过程演示

c)Struts 2漏洞危害分析 d)Struts 2漏洞防范

2、Oracle Padding attack (加密)

a)Oracle Padding attack漏洞利用原理分析

b)Oracle Padding attack漏洞利用攻击过程演示

c)Oracle Padding attack漏洞危害分析

d)Oracle Padding attack漏洞防范

3、Bash (Shellshock)漏洞 (主机)

a)Shellshock漏洞利用原理分析 b)Shellshock漏洞利用攻击过程演示

c)Shellshock漏洞危害分析 d)Shellshock漏洞防范

4、心脏出血漏洞(敏感数据)

a)心脏出血漏洞利用原理分析 b)心脏出血漏洞利用攻击过程演示

c)心脏出血漏洞危害分析 d)心脏出血漏洞防范

5、FCK编辑器漏洞(第三方插件)

a)FCK编辑器漏洞介绍 b)FCK编辑器漏洞漏洞汇总

c)FCK漏洞利用过程演示 d)FCK漏洞防范方法

演示实验(攻击过程)

1、内网DNS缓存投毒劫持会话 2、其他漏洞(根据学员基础调整)

Windows/Linux主机安全漏洞发现和利用

1、Nessus漏洞扫描器原理介绍 2、漏洞扫描工具的使用 3、漏洞扫描工具报告分析

4、基于Metasploit平台漏洞验证 5、内存Shell使用和痕迹清除

6、Rootkit工具介绍 7、多Session管理 8、后门创建和利用

渗透测试一般流程

安全从业人员道德法律要求

第三天

安全加固攻击检测

服务器安全管理

1、常见Web服务器的安全管理 2、常见应用服务器的安全管理

3、常见操作系统的安全管理 4、常见数据库的安全管理 5、常见网络设备的安全管理

安全加固实验

1、Checklist介绍 2、安全配置扫描工具 3、安全加固实际演练 4、Nessus漏洞扫描对比

攻击检测和阻断

1、日志收集和格式化 2、日志关联分析 3、创建分析规则 4、建立企业攻击特征库

5、建立企业攻击发现扫描引擎 6、APT攻击检测 7、攻击性行为检测

8、系统告警级别和流程 9、攻击自动阻断和隔离

应急响应

1、BCP/DRP介绍 2、应急响应流程创建 3、RPO/RTO介绍

4、应急响应演练 5、计算机系统取证介绍 6、常用取证工具

综合实验

1、CTF比赛实验 2、模拟电信系统攻击实验 3、计算机系统取证工作实验




如果您想学习本课程,请预约报名
如果没找到合适的课程或有特殊培训需求,请订制培训
除培训外,同时提供相关技术咨询与技术支持服务,有需求请发需求表到邮箱soft@info-soft.cn,或致电4007991916
技术服务需求表点击在线申请

服务特点:
海量专家资源,精准匹配相关行业,相关项目专家,针对实际需求,顾问式咨询,互动式授课,案例教学,小班授课,实际项目演示,快捷高效,省时省力省钱。

专家力量:
中国科学院软件研究所,计算研究所高级研究人员
oracle,微软,vmware,MSC,Ansys,candence,Altium,达索等大型公司高级工程师,项目经理,技术支持专家
中科信软培训中心,资深专家或讲师
大多名牌大学,硕士以上学历,相关技术专业,理论素养丰富
多年实际项目经历,大型项目实战案例,热情,乐于技术分享
针对客户实际需求,案例教学,互动式沟通,学有所获
报名表下载
联系我们 更多>>

咨询电话010-62883247

                4007991916

咨询邮箱:soft@info-soft.cn  

 

微信号.jpg

  微信咨询

随时听讲课

聚焦技术实践

订制培训 更多>>