首頁 > 內訓課 > IT運維 > 滲透測試實戰專題課程方案

滲透測試實戰專題課程方案

培訓背景

  我們的系統正在遭受各種各樣的安全的惡意攻擊,竊取關鍵數據、擊毀關鍵服務、修改關鍵信息等,如何進行全面有效的系統評估。

  本次課程圍繞滲透測試技術,通過設計安全測試用例及使用滲透測試工具,迅速全面的查找安全漏洞。該課程還將深度分析主要攻擊的原理及安全防御建設思路。通過實際案例和實際工具的操作練習,使參訓人員掌握滲透測試的技術、工具、原理及實施方法,并以安全為核心、掌握安全設計、安全編碼、安全運營,形成安全防御的整套解決思路。即學即用。學員在學習過程中直接對自己的軟件產品進行安全評估、安全滲透及疑難解答。

培訓收益

  掌握滲透測試全面實戰及應用過程 :(一下是部分滲透測試內容截圖)

培訓特色

  1.實用—迅速應用到具體工作產品中;

  2.實戰—現場練習指導;

  3.實現—當堂輸出成果。

課程大綱

知識單元 學習內容
滲透測試基礎:
網絡安全與
應用安全
1.什么是網絡安全;
2.網絡安全的常見防御方法(IPS/IDS/防火墻) ;
3.軟件應用安全現狀及常見攻擊方式 ;
4.軟件應用安全測試的方式及原理 ;
5.安全測試的十大原則;
6.安全靜態測試技術、安全動態測試技術;
7.軟件安全標準:安全規范、安全測試標準、安全編碼標準、安全等級標準等;
8.如何構建安全的防御體系;
9.黑客攻擊的基本過程;
10.滲透測試的基本過程;
11.Nmap工具綜合實戰:
●Nmap是不局限于僅僅收集信息和枚舉,同時可以用來作為一個漏洞探測器或安全掃描器。它可以適用于inodws,linux,mac等操作系統;
●Nmap綜合實戰練習。
滲透測試實戰1:
應用安全漏洞及
滲透測試
1.攻防練習系統的搭建,包括web應用、數據庫搭建;
2.攻防練習主要攻擊搭建、安裝;
3.常見應用安全漏洞攻擊原理深度分析及對應測試方法、工具(該部分隨講師一起練習測試工具及部分攻擊方法):
●Sql注入、XML注入的原理、防御、測試與測試工具(SQL Inject Me/Pangolin);
●跨站腳本XSS的原理、防御、測試與測試工具;
●身份認證和會話管理不當的原理、防御、測試與測試工具(WebScrab);
●不安全的對象直接引用的原理、防御、測試與測試工具(Burp);
●跨站請求偽造CSRF的原理、防御、測試與測試工具(CSRFTester);
●安全配置錯誤的原理、防御、測試與測試工具(watobo);
●URL訪問控制不當的原理、防御、測試與測試工具(nikto);
●不安全的通信的原理、防御、測試與測試工具(Calomel);
●未經認證的重定向和轉發的原理、防御、測試與測試工具(Watcher);
●其他應用安全項滲透測試詳解。
滲透測試實戰2:
數據安全漏洞及
滲透測試
1.SQLMAP滲透爆破工具詳解及練習:破解數據庫、字段、內容 ;
2.暴力破解賬號工具詳解與實戰; 
3.數據庫檢查項及滲透測試項及其練習;
滲透測試實戰3:
手機app滲透測試
1.詳解手機app滲透測試項列表及滲透測試方法;
2.反編譯及逆向工程詳解及滲透測試工具;
3.Drozer手機安全滲透工具詳解;
4.App本地存儲安全、賬號安全、內存安全;
5.App會話及認證安全;
6.App業務應用安全:鑒權、驗證繞過、注入、目錄遍歷、上傳下載、短信炸彈、文件包含、組件安全等79項安全滲透項的滲透方法和工具詳解與練習;
7.綜合性app安全滲透工具詳解與使用。
綜合性安全滲透
測試工具詳解
1.深度了解APPSCAN:原理、攻擊樣本、使用方法、專家分析及解決方案使用、生成報告;
2.Buresuite/ZAP,兩個開源綜合性安全測試工具的使用方法、原理及測試結果分析;
3.靜態代碼安全審計方法及工具詳解:Lapse/fortify;
4.Fiddler:能夠記錄并檢查所有你的電腦和互聯網之間的http通訊,設置斷點,查看所有的“進出”Fiddler的數據;練習與詳解;
5.Struts2_045漏洞監測工具;
6.穿山甲、菜刀、御劍、小葵解碼器在滲透測試中的應用場景及應用方法詳解、練習與使用;
7.Webinspect綜合性安全測試工具使用詳解;
8.Nessus綜合性安全測試工具詳解;
9.如何組合使用各種滲透工具達到滲透測試效果;
10.安全測試工具發現的問題的歸類及修改順序、修改優先級。
滲透測試綜合
攻防演練
滲透測試綜合攻防演練。
安全設計
安全編碼
安全運營
1.安全設計主要關注點,從源頭解決安全問題;
2.安全編碼方法、安全函數;
3.建立安全運營機制及體系。