课程详情
Web渗透防御
网络安全培训课程学习目标:
1.熟悉Web平台项目结构、网站应用的基础开发、网站应用部署过程,掌握各种网络攻击的路径和流程。
2.掌握信息收集的方法和常用工具、漏洞及利用的方法和工具,能够针对目标网站执行有效的漏洞分析。
3.熟悉OWASPTop10十大网站漏洞原理、漏洞利用方式和漏洞修复建议,能够部署WAF网站应用防火墙,并合理编写防护规则。
4.掌握网站SQL注入攻击的常用方法,包括数字/字符型注入、搜索性注入、报错注入、布尔盲注、时间盲注、宽字节注入、二次注入等,学会使用手工注入及Sqlmap工具注入。
5.掌握Windows提权、Linux提权、数据库提权、第三方软件提权等常用的提权方法,掌握Windows权限维持、Linux权限维持、渗透测试框架权限维持等常用的权限维持方法,掌握常见免杀工具的使用。
6.能够使用内网渗透代理,**搜集及利用内网信息,掌握常见的后渗透攻击方法。
7.能够规划并部署信息系统的安全加固策略,包括Windows/Linux操作系统安全加固、Apache网站安全加固、MySQL/MariaDB数据库安全加固等。
8.能够编写渗透测试方案,完成渗透测试授权和测试备案、准备渗透测试环境、编写渗透测试报告,以及实施渗透测试报告的汇报,掌握漏洞复测方法,能针对常见漏洞提供合理的修复建议。
网络安全培训课程Web应用基础
网络安全培训课程核心技能:
1.Web应用平台:Web应用环境部署、WEB应用组成及工作流程、B/Sj架构、网站前端与服务器端、FireFox浏览器插件、VSCode安装及基础配置
2.HTML超文本标记:HTML页面结构、常用文本标签、结构标签、标签属性、超链接、图片引入、图片链接、表单标签、表单元素属性、表单控件、控件属性、iframe网页内嵌、iframe样式设置
3.JavaScript/JS:CSS层叠样式表、JavaScript语言基础、ECMAScript、输入输出、变量、数据类型、运算符、流程控制、循环结构、函数、对象、JS使用方式、DOM文档对象模型、元素绑定事件操作、BOM浏览器对象模型
4.数据库:SQL数据库基础、建库建表、删库删表、数据类型、属性、约束、SQL数据基本增删改查操作、orderby应用、union查询、MySQL元数据库information_schema介绍
5.PHP基础:HTTP超文本传输协议、HTTP请求/响应、HTTP状态码、PHP语言基础、变量、数据类型、运算符、流程控制、循环结构、函数、数组及遍历、类和对象、OOP面向对象编程
6.PHP进阶:函数安全应用、超级全局变量、表单传参与数据接收、表单过滤、正则表达式校验、Cookie和Session会话、MySQLi连接数据库、建库建表/增删改查、MySQLi预处理
网络安全培训课程项目贯穿:
1.使用HTML设计网页:HTML常用标签样式、HTML表单属性设置、表单控件、iframe标签内嵌外部网页、iframe网站全屏内嵌
2.JavaScript网页应用检测:CSS内联、内嵌、外链使用方式、JavaScript平年闰年判断、分数定级判断、函数完成判断数据大小操作、对象声明及取值赋值操作
3.SQL数据库设计和开发:SQL语句建库操作、SQL建表操作、删库删表、数据的增删改查、PHP对象声明及取值赋值、PHP构造函数应用
4.网页表单验证:表单制作、表单验证、使用Session和Cookie完成登录操作、使用Session完成文章展示浏览量功能
网络安全培训课程SQL注入
网络安全培训课程核心技能:
1.普通手动SQL注入:SQL注入原理、SQL注入分类、判断SQL注入点、orderby判断表字段数量、union确定网页显示字段、union获取数据库名、借助information_schema元数据库获取数据表名、获取字段名、拖库、加密数据解密
2.SQL盲注、BurpSuite辅助SQL注入:判断注入点、手动构造SQL判断获取数据库名、手动构造SQL获取数据表名、手动构造SQL获取字段名、手动构造SQL拖库、加密数据解密、BurpSuite数据库名爆破、、BurpSuite数据表名爆破、BurpSuite字段名爆破、BurpSuite数据爆破
3.sqlmap自动SQL注入、SQL注入防护:sqlmap判断SQL注入点、sqlmap命令获取网站所有数据库名、sqlmap命令获取网站使用数据库名、sqlmap命令获取数据库中所有数据表名、sqlmap命令获取所有表字段名、sqlmap命令拖库到本地、sqlmap加密数据自动解密、代码层面SQL注入防护、服务器配置层面SQL注入防护、WAF应用SQL注入防护
网络安全培训课程项目贯穿:
1.普通手动SQL注入:手动判断SQL注入点、手动猜解表字段数量、手动确定网页显示字段、手动确定数据库名、手动获取数据表名、手动获取表字段名、手动拖库、手动数据解密
2.SQL盲注、BurpSuite辅助SQL注入:使用手动方式对无回显报错页面进行SQL盲注拖库、使用BurpSuite软件辅助SQL盲注拖库
3.sqlmap自动SQL注入、SQL注入防护:掌握sqlmap获取所有数据库命令、获取正在使用数据库命令、获取所有数据表命令、获取所有表字段命令、拖库命令、掌握SQL注入防御措施、代码层面SQL注入防护、服务器配置层面SQL注入防护、WAF应用安装与SQL注入防护
网络安全培训课程Web安全
网络安全培训课程核心技能:
1.Web应用安全概念:Web应用安全的重要性、Web安全事件、Web应用的体系结构、OWASP开源组织介绍、OWASPTOP10简介
2.OWASPTOP10原理、利用方式及漏洞修复:XSS跨站脚本、存储型XSS、反射型XSS、DOM型XSS、CSRF/SSRF漏洞、RCE原理、文件上传漏洞、文件包含漏洞、序列化/反序列化漏洞、XML文档、XXE漏洞、逻辑漏洞
3.靶场部署及应用:基于DVWA靶场的CSRF实践、基于DVWA靶场的RCE实践、基于DWWA靶场的文件上传漏洞实践、基于DVWA靶场的文件包含漏洞实践、基于pikachu靶场的SSRF实践、基于pikachu靶场的爆破实验、基于upload-labs靶场的文件上传漏洞实践、基于pikachu靶场的文件包含漏洞实践、基于pikachu靶场的水平越权实践及漏洞修复
4.代码审计:代码审计的概念、代码的审计步骤、代码审计的方法、代码审计工具的使用
网络安全培训课程项目贯穿:
1.基于pikachu靶场的攻防实践:暴力破解、XSS漏洞、CSRF漏洞、RCE漏洞、文件包含漏洞、越权漏洞、反序列化漏洞、XXE漏洞、SSRF漏洞
2.基于DVWA靶场的攻防实践:命令注入漏洞、文件包含漏洞、文件上传漏洞、XSS漏洞、CSRF漏洞、命令注入漏洞
3.基于upload-labs的攻防实践:pass01-前端检查绕过、pass02-文件类型绕过、pass03~pass08-文件后缀绕过
4.使用seay代码审计工具对blueCMS进行代码审计
网络安全培训课程安全加固
网络安全培训课程核心技能:
1.WAF网站应用防火墙:WAF的概念、功能和分类、ModSecurity规则、Ubuntu搭建测试靶机、OWASP规则集的部署、WAF绕过技术、WAF绕过实验
2.Windows安全加固:Windows身份鉴别、Windows访问控制、Windows安全审计、Windows入侵防范
3.Linux安全加固:Linux身份鉴别、Linux访问控制、Linux安全审计、Linux入侵防范
4.数据库安全加固:MySQL身份鉴别、MySQL访问控制、MySQL安全审计、MySQL入侵防范、MySQL其它安全配置
5.Apache安全加固:Apache身份鉴别、Apache访问控制、Apache安全审计、Apache入侵防范、Apache恶意代码防范、Apache数据保密
网络安全培训课程项目贯穿:
1.开源WAF-modsecurity实践:LAMP环境安装部署、DVWA安装部署、编写modsecurity规则集、OWASP规则集的部署
2.Windows系统加固:组权限、密码策略、本地策略、审核策略、用户权限指派、安全选项、关闭或限制文件共享、关闭不必要的服务或限制服务权限、防火墙、日志审计、关闭自动播放
3.Linux系统加固:保护root账户、清除系统多余账户、检测空口令账户、禁用危险服务、关闭非必要服务、syslog日志服务
4.MySQL数据库的用户控制:修改root用户名、禁止root账号远程登录、删除危险账户、文件操作控制、网络访问限制
5.Apache安全配置:开发安全、服务器降权运行、目录权限控制、服务器配置安全、传输安全、文件安全、外围加固
网络安全培训课程渗透测试实战核心技能:
1.CTF夺旗实战:CTF夺旗赛制、红蓝对抗、基于CTF靶场DC-5的渗透测试
2.渗透测试实战:渗透测试流程、编写渗透测试方案、渗透测试授权和测试备案、渗透测试环境准备、渗透测试报告的编制、渗透测试报告的汇报、常见漏洞的修复建议、漏洞复测
网络安全培训课程项目贯穿:
1.DC-5渗透测试:DC-5的安装和部署、NMAP扫描内网和服务、浏览DC-5网站、御剑后台目录扫描、利用Get参数上传一句话木马、使用中国蚁剑连接DC-5、使用NC工具反弹连接DC-5、查找suid权限的文件、利用screen4.5漏洞提权、获取flag
2.Joomla渗透测试:Joomla的安装和部署、Joomla中文简体语言包的安装、使用awvs扫描Joomla、手工验证CVE-2018-8045漏洞、使用Sqlmap对CVE-2018-8045漏洞利用、手工验证CVE-2017-7986漏洞、CVE-2017-7986漏洞利用、编写渗透测试报告。
关于我们
-
每年十万人选择的培训 自然是好培训
——
达内教育成立于2002年9月,是面向IT互联网行业, 培训培养软件开发工程师、测试工程师、智能硬件工程师、UI设计师、网络营销师等职场人才的教育机构。
◆目前,达内教育已在北京、上海、广州、深圳、南京等41座大中城市建立300家线下学习中心
◆覆盖3-33岁全年龄段用户,为其提供全周期、系统化的人才培养服务
◆与1200多所高校建立应用型人才培养的合作,为20万家企业输送人才,累计服务120万+职业人才