学习特色:web传统漏洞的综合利用
文件包含漏洞的方法和挖掘
获取webshell的各种手法
服务器提权
杂项、安全运维等。
课程内容:web漏洞综合利用
应急响应
CTF杂项讲解
适用人群:对web安全的各种名词有清楚的认识,比如后台权限,webshell权限,服务器权限,对网站的运行原理有清楚的认 识,数据库的配置,常见的cms等。
开课时间:2019.8月-2020.4月
课程安排:
| 时间安排 | 培训 主题 | 主要内容 |
| 2019、8月 | 信息安全基础 | 主要讲解信息安全的定义、目标、分类、威胁、脆弱性,恶意攻击者在信息安全事件中的常用技术术语。以及乌克兰“电力门”、美国NSA“棱镜”电子监听计划、徐玉玉电信诈骗案等重大信息安全事件案例。 |
| Windows系统 | 主要讲解如何对Windows系统下的数据进行安全保护、账户口令所面临的威胁以及如何对账户口令进行加固、如何对用户和组进行加固、权限分配的基本原则、如何对重要进程进行防护、如何对日志安全进行加固以及安全事件发生之后的日志分析方法、如何利用组策略和注册表对系统安全进行加固。 | |
| 2019、9月 | Linux系统 | 主要讲解以系统服务和实际的应用入手、分析Linux 环境下的常见安全威胁、针对性的进行测试及其防范措施,构造安全的Linux 应用环境、提高安全意识。 |
| 渗透测试基础 | 主要讲解渗透测试方面的基础知识、渗透测试概念、意义、方法、分类等,还讲解了信息手机的常见方法,以及搜索引擎的使用。 | |
| 2019、10月 | 风险评估技术 | 主要从信息搜集、系统安全、web应用安全和安全工具使用等四个方面对web渗透测试的流程进行系统的讲解。信息搜集的被动式和主动式两方面的利用方法;常见操作系统、服务器中间件等攻击利用;web应用安全中基于OWASP TOP10进行详细讲解及利用;以及常见安全工具sqlmap、awvs、appscan、nessus等使用方式。 |
| 暴力破解和弱口令 | 主要讲解暴力破解的方法、场景、使用的工具,针对个人和企业的用户名账号密码爆破,验证码的绕过,目录爆破,其他灵活的暴力破解以及hash的破解。 | |
| 2019、11月 | sql注入基础 | 主要讲解ASP+Access、ASPX+Mssql等手工注入常用语句、练习和实践,以及常见应用场景下的SQL注入攻击,如:获取数据库信息等等;着重讲解针对不同数据库的SQL注入漏洞中的各种防御手段,如使用参数化语句、使用存储过程等。 |
| sql注入利用与防护 | 主要讲解Php+Mysql、JSP+Oracle等手工注入常用语句、语法结构、练习和实践,以及常见应用场景下的SQL注入攻击,如:获取数据库信息、获取Webshell、提权等等;着重讲解针对不同数据库的SQL注入漏洞中的各种防御手段,如使用参数化语句、使用存储过程等。 | |
| 2019.12月 | web提权 | 主要讲解在web端常见的应用以及提升权限的方法,包含文件上传漏洞的原理以及利用、代码执行漏洞的成因以及利用、常见cms和中间件的权限提升、其他第三方软件的web端权限提升。 |
| 服务器提权 | 主要讲解提权攻击原理及提权方法、文件系统权限配置不当提权、第三方软件提权、数据库提权、服务器远程溢出提权、以及提权后的具体操作等。 | |
| 2020.1月 | 密码学分析利用 | 主要讲解古典密码与现代密码学的基本概念、加密体制的分类,并介绍古典与现代密码中几种常见的加密算法,以及相关密码分析工具和脚本的利用,最后讲解常见编码的相关的知识。 |
| 隐写术分析 | 主要讲解隐写术的发展、隐写技术介绍与利用,在多媒体、操作系统、网络协议中如何数据隐藏,常见隐写工具及脚本的介绍与利用。 | |
| 2020.2月 | 逆向工程导论 | 主要讲解逆向工程的基本概念,逆向工程在软件分析和保护、病毒分析等领域的应用。介绍静态分析与动态调试这两种重要的逆向分析手段,通过软件爆破和算法还原实战演示来展现软件逆向的基本流程以及必备的知识体系。 |
| X86汇编基础知识 | 主要讲解X86体系下的16位汇编语法以及win32汇编语法。 | |
| 2020.3月 | 应急响应基础 | 主要讲解应急响应的概念、产生、发展、事件评估与应急方法,常见事件发生原因与黑客攻击方式。 |
| 应急响应分析 | 主要讲解Windows与Linux磁盘数据分析,网络通信分析,案例分析,实战演练与报表输出。 | |
| 2020.4月 | 线上培训总结 | 全年知识要点串讲回顾。 |
