易霖博信息安全培訓(xùn)
Web滲透與安全:
一、課程介紹
現(xiàn)代網(wǎng)絡(luò)中網(wǎng)絡(luò)安全以及成為人們?nèi)找骊P(guān)注的焦點問題。目前,利用計算機網(wǎng)絡(luò)實施犯罪的案件屢見不鮮,黑客們通過各種方法向目標計算機發(fā)動各種攻擊,對社會政治、經(jīng)濟、文化等方面照成了不可估計的損失。本課程從產(chǎn)品、技術(shù)、管理等多方面按照由淺入深、循序漸進、分類型進行敘述。每一部分都以理論結(jié)合實際案例方式講解,使學(xué)員盡快掌握知識并運用到實際工作和生活中。
現(xiàn)階段,網(wǎng)站安全已經(jīng)成為互聯(lián)網(wǎng)上的熱門話題,為檢測網(wǎng)站漏洞、防止黑客攻擊,易霖博特推出Web滲透與防御課程,深入了解黑客攻擊手段,目前在國內(nèi),沒有針對性的實地培訓(xùn),然而在國內(nèi)的安全人才也十分缺乏,目前互聯(lián)網(wǎng)病毒與攻擊十分泛濫,黑客猖狂不絕,多數(shù)大中小型企業(yè)網(wǎng)站面臨黑客的光顧,數(shù)據(jù)外泄,平均每20秒就有一個網(wǎng)站被入侵,這為企業(yè)帶來了不可估量的損失。
二、課程優(yōu)勢:
安全人才也是各大企業(yè)爭先搶要的人才,有的企業(yè)為聘請一個安全人才,不甚花費重金聘請,但最后還是一才難求,為培養(yǎng)人才,易霖博的安全培訓(xùn),結(jié)合企業(yè)用人特點與技術(shù)需求;
綜合企業(yè)招聘需求和人才期望,量身定制企業(yè)的實用技術(shù)人才;
綜合我們學(xué)員的特點挖掘企業(yè)崗位,做到學(xué)員適才適崗;每日實戰(zhàn),理論與實際相結(jié)合、為企業(yè)培養(yǎng)內(nèi)核級的安全人才。
三、適合群體:
本科畢業(yè)生、計算機相關(guān)專業(yè)、大學(xué)計算機方向教師、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和廣大網(wǎng)絡(luò)技術(shù)愛好者。 大、中型網(wǎng)絡(luò)信息系統(tǒng)管理人員;
Web開發(fā)人員,站長或網(wǎng)站運營公司內(nèi)技術(shù)人員,網(wǎng)站安全技術(shù)從業(yè)人員及愛好者;
首席技術(shù)官CTO,網(wǎng)站安全負責(zé)人,信息安全主管,網(wǎng)絡(luò)安全工程師,技術(shù)部經(jīng)理,網(wǎng)絡(luò)警察,高級安全顧問,其他IT安全相關(guān)職位,自主創(chuàng)業(yè)。
四、課程大綱:
| (一)、安全大事件回顧與思考 安全真實案例回顧與討論 |
1,安全都涉及什么
2,如何來預(yù)防安全事故 3,安全測試的目標和范圍 4,安全原理:威脅建模 標識資源(敏感數(shù)據(jù)) 5,創(chuàng)建總體體系結(jié)構(gòu) 6,分解應(yīng)用程序標識特權(quán)代碼 7,識別威脅、記錄威脅、評價威脅 安全網(wǎng)關(guān)、入侵檢測 : 防火墻 、VPN技術(shù) 、端口映射 、包過濾 、狀態(tài)檢測 、DDOS攻擊原理 、協(xié)議基礎(chǔ) 、流量整形技術(shù)QOS 、上網(wǎng)行為控制技術(shù) |
| (二)、Web安全需求分析 |
1,列出網(wǎng)站資源:業(yè)務(wù)數(shù)據(jù),應(yīng)用程序,服務(wù),配置數(shù)據(jù),頁面
2,建立資源分布圖,確定資源位置 3,確定資源信任邊界 4,確定資源授權(quán)范圍 5,建立資源防范目錄 |
| (三)、Web應(yīng)用漏洞及檢測方法 常見的操作系統(tǒng)漏洞和檢查方法 |
1,常見的數(shù)據(jù)庫漏洞和檢查方法
2,Web服務(wù)漏洞和檢查方法 3,網(wǎng)絡(luò)通信漏洞和檢查方法 4,配置文件漏洞和檢查方法 5,其他資源漏洞和檢查方法 6,設(shè)計安全測試用例 確定安全測試點 7,預(yù)見可能的入侵事件 8,分析入侵事件的觸發(fā)條件 |
| (四)、Web入侵常用工具的介紹與使用 |
1,常見攻擊工具 Mpack
2,Neosploit 3,ZeuS 4,Nukesploit P4ck 5,Phoenix 6,常見安全檢查工具 IBM Rational AppScan 7,WebInspect 8,NStalker-WAS 9,Acunetix Web Vulnerability Scanner(WVS) 10,基礎(chǔ)常用工具:明小子、御劍、穿山甲、中國菜刀等 |
| (五)、Web信息收集與安全檢測 |
1,信息收集
2,探查、踩點 3,欺騙 4,會話劫持 5,中間人攻擊 6,安全檢測、病毒、特洛伊木馬和蠕蟲 7,破解密碼 8,拒絕服務(wù) 9,任意執(zhí)行代碼 10,未授權(quán)訪問 |
| (六)、Web應(yīng)用常見威脅及其對策 |
1,標準化漏洞
2,身份驗證相關(guān)的威脅及其對策 3,針對授權(quán)的威脅及其對策 4,針對配置管理的威脅及對策 5,安全的加密 6,對抗針對操作 7,異常處理 8,緩沖區(qū)溢出攻擊 |
| (七)、Web安全審計和使用日志跟蹤安全相關(guān)事件 |
1,將日志寫入文件/數(shù)據(jù)庫
2,使用系統(tǒng)安全日志 3,日志異常與跟蹤 4,調(diào)查取證 |
| (八)、Web入侵防御實戰(zhàn)與環(huán)境搭建 |
1,本地Web環(huán)境搭建:通過IIS搭建asp.net、php、jsp、ftp環(huán)境
2,信息收集探測與掃描:利用google hack、Nmap、Scscannrr、WVS,IBMappScan 進行探測與掃描; 3,入侵方式與防御:SQL注入、二次高級注入、繞過,XSS、文件上傳、php碰撞、腳本攻擊、編輯器漏洞、中轉(zhuǎn)注入、遠程代碼執(zhí)行、包含漏洞、遍歷目錄、暴力破解、終端繞過與突破、旁注與C段、FTP弱口令破解、msf滲透、數(shù)據(jù)庫脫褲與破解、提權(quán); 4,漏洞挖掘與0day 5,社會工程學(xué) 6,怎么樣才能使您的服務(wù)器與WEB站點更安全; 7,內(nèi)網(wǎng)滲透測試,網(wǎng)絡(luò)異常數(shù)據(jù)分析,內(nèi)網(wǎng)滲透測試原理與實踐; |