企业信息安全攻防训练营课程

  课程天数：2天

  课程介绍

     随着互联网的快速发展，以及大量中小型互联网公司的出现，网络用户数也在不断增长，用户安全意识不断提升，大家也越来越注重个人隐私及数据安全的防护，出现用户密码泄露、隐私外泄、财产损失等都是不能忍受的。

     目前大部分公司都会通过WEB技术提供服务，但这些公司往往缺乏安全相关的技术团队，来为网络安全方面提供技术保障。尤其在开发过程中工程师忽略安全方面的考虑，导致线上网站服务器出现各种安全漏洞，留下安全隐患，对用户和公司都会造成不同程度的损失。

     加上近些年各大互联网公司陆续爆出被攻击的安全问题，大量账户和密码泄露。例如有些用户在很多网站都使用同一账户和密码，使得黑客更容易破解他在其它网站的账户信息。类似问题让企业在安全性方面面临严峻挑战，可以说一个网站没有安全，就像没有穿衣服一样，它是裸露透明的，一丝不挂毫无隐私和保障可言。

     本课程根据讲师十多年安全开发方面的经验，循序渐进的讲述大量实际发生的案例以及处理方案，来应对各种新奇攻击技术。从常见网络攻击、代码安全、后端应用安全、账户安全、等各方面提供了比较成熟的技术解决方案。

     希望通过企业信息安全攻防训练营能够帮助大家对整个网络安全有一个全新的认识和质的提升，从而成为一位懂安全、会防护的工程师，避免在工作当中成为黑客的攻击对象。

  课程收益

     脚本攻击：第一部分讲解信息安全史，掌握暴库技术、上传方法、注入攻击手段、注入攻击的防范方法、跨站攻击手段及防御方法、深入了解DDOS攻击手段、掌握防火墙缺点等。

     浏览端攻击技术：第二部分讲解WEB其它漏洞攻击与防御方式、渗透测试流程及漏扫工具的使用；让学员能够快速了解漏洞是如何被发现的，我们如何避免此类问题的综合知识讲解。

  培训对象

     Web开发人员、渗透测试人员、安全开发、安全咨询顾问、软件测试、架构师、项目经理、设计人员；

课程大纲

第一单元：脚本攻击

1、讲师与学员自我介绍

2、课程目标介绍

3、课程内容介绍

4、了解中国目前安全现状

5、培养员工安全意识

6、溢出攻击

     漏洞成因分析

     漏洞挖掘技术

     溢出利用

     溢出防护

7、论坛入侵方法及实践

     入侵思路

     判断方法

     漏洞利用方式

     提权

8、暴库原理

9、上传WEBSHELL经验及方法

10、脚本漏洞

     Asp及aspx脚本漏洞

     PHP脚本漏洞

     JSP脚本漏洞

11、数据库注入

     MSSQL注入

     Access注入

     MYSQL注入

     ORACLE注入

     绕过waf

第二单元：浏览端攻击技术

1、跨站攻击的利用及防范

     漏洞成因

     危害

     挂马

     盗cookies

     Xss盲打

2、文件包含漏洞

     漏洞成因

     利用方式

     本地包含

     远程包含

     漏洞防御

3、命令执行漏洞

     漏洞成因

     Eval,system,exec利用

     读取文件

4、日志分析

     分析流程

     后门分析

     工具分析

5、Cookies欺骗

     Cookie欺骗原理

     盗管理员cookies演示

6、渗透测试思路

     信息收集

     发现漏洞

     利用漏洞

     提权

     清除痕迹

7、综合环境练习

     实践连续

     安全加因

8、总结