您現在的位置：首頁 > 企業內訓 > 信息安全 > 滲透測試實戰專題課程方案

滲透測試實戰專題課程方案

2020-07-02 15:23:53　|　來源：中培企業IT培訓網

培訓背景

我們的系統正在遭受各種各樣的安全的惡意攻擊，竊取關鍵數據、擊毀關鍵服務、修改關鍵信息等，如何進行全面有效的系統評估。

本次課程圍繞滲透測試技術，通過設計安全測試用例及使用滲透測試工具，迅速全面的查找安全漏洞。該課程還將深度分析主要攻擊的原理及安全防御建設思路。通過實際案例和實際工具的操作練習，使參訓人員掌握滲透測試的技術、工具、原理及實施方法，并以安全為核心、掌握安全設計、安全編碼、安全運營，形成安全防御的整套解決思路。即學即用。學員在學習過程中直接對自己的軟件產品進行安全評估、安全滲透及疑難解答。

培訓收益

掌握滲透測試全面實戰及應用過程：（一下是部分滲透測試內容截圖）

培訓特色

1.實用—迅速應用到具體工作產品中；

2.實戰—現場練習指導；

3.實現—當堂輸出成果。

課程大綱

知識單元	學習內容
滲透測試基礎：網絡安全與應用安全	1.什么是網絡安全； 2.網絡安全的常見防御方法（IPS/IDS/防火墻）； 3.軟件應用安全現狀及常見攻擊方式； 4.軟件應用安全測試的方式及原理； 5.安全測試的十大原則； 6.安全靜態測試技術、安全動態測試技術； 7.軟件安全標準：安全規范、安全測試標準、安全編碼標準、安全等級標準等； 8.如何構建安全的防御體系； 9.黑客攻擊的基本過程； 10.滲透測試的基本過程； 11.Nmap工具綜合實戰： ●Nmap是不局限于僅僅收集信息和枚舉，同時可以用來作為一個漏洞探測器或安全掃描器。它可以適用于inodws,linux,mac等操作系統； ●Nmap綜合實戰練習。
滲透測試實戰1：應用安全漏洞及滲透測試	1.攻防練習系統的搭建，包括web應用、數據庫搭建； 2.攻防練習主要攻擊搭建、安裝； 3.常見應用安全漏洞攻擊原理深度分析及對應測試方法、工具（該部分隨講師一起練習測試工具及部分攻擊方法）： ●Sql注入、XML注入的原理、防御、測試與測試工具（SQL Inject Me/Pangolin）； ●跨站腳本XSS的原理、防御、測試與測試工具； ●身份認證和會話管理不當的原理、防御、測試與測試工具（WebScrab）； ●不安全的對象直接引用的原理、防御、測試與測試工具（Burp）； ●跨站請求偽造CSRF的原理、防御、測試與測試工具（CSRFTester）； ●安全配置錯誤的原理、防御、測試與測試工具（watobo）； ●URL訪問控制不當的原理、防御、測試與測試工具（nikto）； ●不安全的通信的原理、防御、測試與測試工具（Calomel）； ●未經認證的重定向和轉發的原理、防御、測試與測試工具（Watcher）； ●其他應用安全項滲透測試詳解。
滲透測試實戰2：數據安全漏洞及滲透測試	1.SQLMAP滲透爆破工具詳解及練習：破解數據庫、字段、內容； 2.暴力破解賬號工具詳解與實戰； 3.數據庫檢查項及滲透測試項及其練習；
滲透測試實戰3：手機app滲透測試	1.詳解手機app滲透測試項列表及滲透測試方法； 2.反編譯及逆向工程詳解及滲透測試工具； 3.Drozer手機安全滲透工具詳解； 4.App本地存儲安全、賬號安全、內存安全； 5.App會話及認證安全； 6.App業務應用安全：鑒權、驗證繞過、注入、目錄遍歷、上傳下載、短信炸彈、文件包含、組件安全等79項安全滲透項的滲透方法和工具詳解與練習； 7.綜合性app安全滲透工具詳解與使用。
綜合性安全滲透測試工具詳解	1.深度了解APPSCAN：原理、攻擊樣本、使用方法、專家分析及解決方案使用、生成報告； 2.Buresuite/ZAP，兩個開源綜合性安全測試工具的使用方法、原理及測試結果分析； 3.靜態代碼安全審計方法及工具詳解：Lapse/fortify； 4.Fiddler：能夠記錄并檢查所有你的電腦和互聯網之間的http通訊，設置斷點，查看所有的“進出”Fiddler的數據；練習與詳解； 5.Struts2_045漏洞監測工具； 6.穿山甲、菜刀、御劍、小葵解碼器在滲透測試中的應用場景及應用方法詳解、練習與使用； 7.Webinspect綜合性安全測試工具使用詳解； 8.Nessus綜合性安全測試工具詳解； 9.如何組合使用各種滲透工具達到滲透測試效果； 10.安全測試工具發現的問題的歸類及修改順序、修改優先級。
滲透測試綜合攻防演練	滲透測試綜合攻防演練。
安全設計安全編碼安全運營	1.安全設計主要關注點，從源頭解決安全問題； 2.安全編碼方法、安全函數； 3.建立安全運營機制及體系。