信息安全

渗透测试实战专题课程方案

2020-07-02 15:23:53　|　来源：中培企业IT培训网

培训背景

我们的系统正在遭受各种各样的安全的恶意攻击，窃取关键数据、击毁关键服务、修改关键信息等，如何进行全面有效的系统评估。

本次课程围绕渗透测试技术，通过设计安全测试用例及使用渗透测试工具，迅速全面的查找安全漏洞。该课程还将深度分析主要攻击的原理及安全防御建设思路。通过实际案例和实际工具的操作练习，使参训人员掌握渗透测试的技术、工具、原理及实施方法，并以安全为核心、掌握安全设计、安全编码、安全运营，形成安全防御的整套解决思路。即学即用。学员在学习过程中直接对自己的软件产品进行安全评估、安全渗透及疑难解答。

培训收益

掌握渗透测试全面实战及应用过程：（一下是部分渗透测试内容截图）

培训特色

1.实用—迅速应用到具体工作产品中；

2.实战—现场练习指导；

3.实现—当堂输出成果。

课程大纲

知识单元	学习内容
渗透测试基础：网络安全与应用安全	1.什么是网络安全； 2.网络安全的常见防御方法（IPS/IDS/防火墙）； 3.软件应用安全现状及常见攻击方式； 4.软件应用安全测试的方式及原理； 5.安全测试的十大原则； 6.安全静态测试技术、安全动态测试技术； 7.软件安全标准：安全规范、安全测试标准、安全编码标准、安全等级标准等； 8.如何构建安全的防御体系； 9.黑客攻击的基本过程； 10.渗透测试的基本过程； 11.Nmap工具综合实战： ●Nmap是不局限于仅仅收集信息和枚举，同时可以用来作为一个漏洞探测器或安全扫描器。它可以适用于inodws,linux,mac等操作系统； ●Nmap综合实战练习。
渗透测试实战1：应用安全漏洞及渗透测试	1.攻防练习系统的搭建，包括web应用、数据库搭建； 2.攻防练习主要攻击搭建、安装； 3.常见应用安全漏洞攻击原理深度分析及对应测试方法、工具（该部分随讲师一起练习测试工具及部分攻击方法）： ●Sql注入、XML注入的原理、防御、测试与测试工具（SQL Inject Me/Pangolin）； ●跨站脚本XSS的原理、防御、测试与测试工具； ●身份认证和会话管理不当的原理、防御、测试与测试工具（WebScrab）； ●不安全的对象直接引用的原理、防御、测试与测试工具（Burp）； ●跨站请求伪造CSRF的原理、防御、测试与测试工具（CSRFTester）； ●安全配置错误的原理、防御、测试与测试工具（watobo）； ●URL访问控制不当的原理、防御、测试与测试工具（nikto）； ●不安全的通信的原理、防御、测试与测试工具（Calomel）； ●未经认证的重定向和转发的原理、防御、测试与测试工具（Watcher）； ●其他应用安全项渗透测试详解。
渗透测试实战2：数据安全漏洞及渗透测试	1.SQLMAP渗透爆破工具详解及练习：破解数据库、字段、内容； 2.暴力破解账号工具详解与实战； 3.数据库检查项及渗透测试项及其练习；
渗透测试实战3：手机app渗透测试	1.详解手机app渗透测试项列表及渗透测试方法； 2.反编译及逆向工程详解及渗透测试工具； 3.Drozer手机安全渗透工具详解； 4.App本地存储安全、账号安全、内存安全； 5.App会话及认证安全； 6.App业务应用安全：鉴权、验证绕过、注入、目录遍历、上传下载、短信炸弹、文件包含、组件安全等79项安全渗透项的渗透方法和工具详解与练习； 7.综合性app安全渗透工具详解与使用。
综合性安全渗透测试工具详解	1.深度了解APPSCAN：原理、攻击样本、使用方法、专家分析及解决方案使用、生成报告； 2.Buresuite/ZAP，两个开源综合性安全测试工具的使用方法、原理及测试结果分析； 3.静态代码安全审计方法及工具详解：Lapse/fortify； 4.Fiddler：能够记录并检查所有你的电脑和互联网之间的http通讯，设置断点，查看所有的“进出”Fiddler的数据；练习与详解； 5.Struts2_045漏洞监测工具； 6.穿山甲、菜刀、御剑、小葵解码器在渗透测试中的应用场景及应用方法详解、练习与使用； 7.Webinspect综合性安全测试工具使用详解； 8.Nessus综合性安全测试工具详解； 9.如何组合使用各种渗透工具达到渗透测试效果； 10.安全测试工具发现的问题的归类及修改顺序、修改优先级。
渗透测试综合攻防演练	渗透测试综合攻防演练。
安全设计安全编码安全运营	1.安全设计主要关注点，从源头解决安全问题； 2.安全编码方法、安全函数； 3.建立安全运营机制及体系。