随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web 平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。WEB安全培训课程基于OWASP TOP10 与国内主流漏洞所演化,包括但不限于:SQL注入、跨站脚本攻击、命令执行等。
缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击,可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。系统安全培训涉及基础的缓冲区溢出原理,shellcode编写,漏洞高级利用等。
信息安全培训是成本最低、最有效利用现有技术和资源的、效果最快最显著的信息安全管理措施。作为信息安全咨询服务提供者,我们创建的信息安全培训可针对客户不同层次的安全需求而定制,全面融合了技术和管理的要素。借助各项培训课程,我们的专业培训人员将向客户传授从一般性的安全意识、到具体的安全攻防操作、再到高级的信息安全管理在内的全方位的安全知识和技能,从而提升客户在信息安全实践当中“人”这个决定因素的关键作用,为有效的信息安全提供保障。
Web安全培训:
1.了解基本web漏洞的形成原因和利用方法;
2.掌握基本web漏洞的挖掘和利用;
3.了解常规web漏洞的代码审计方法;
4.了解基本web漏洞如SQL注入、XSS、越权、文件包含等的修复和防御;
5.熟悉相关web安全工具、web安全测试环境的使用和部署等。
系统安全培训:
1.了解常见系统漏洞的形成原因和利用方法;
2.了解基本系统安全配置和防护;
3.了解常见系统漏洞的挖掘;
4.了解系统安全相关安全工具的部署和使用。
WEB安全基础 | 基础信息安全意识 OWASP TOP 10漏洞讲解 |
代码审计基础 | 漏洞产生的原因 代码审计的流程 代码审计工具介绍 漏洞简单利用 完整的开源代码审计过程 |
代码审计进阶 | 高级SQL注入挖掘及应用 PHPCMS 0day 分析 跨站脚本漏洞挖掘方法 变量覆盖概念 变量覆盖常见代码与函数 实例讲解变量覆盖漏洞挖掘 变量覆盖漏洞利用 PHPDISK 变量覆盖漏洞分析 上传漏洞的挖掘方法 文件包含的挖掘方法 文件包含的利用方式 代码执行漏洞挖掘 代码执行漏洞的利用 逻辑漏洞挖掘 逻辑漏洞利用 二次漏洞挖掘及利用 |
反汇编及逆向分析基础课程 | C\C++语言基础 C\C++基本语法及编程基础 函数,数组及指针的使用 结构体,类相关知识及使用 |
调试工具的使用 | OllyDbg简介及使用 WinDbg简介及使用 IDA Pro 简介及使用 |
反汇编揭秘 | 汇编基础指令讲解 整数类型,浮点数,字符,字符串,地址,指针,引用,常量等汇编表示形式 C程序入口函数,main函数识别 观察各种表达式求值过程(算数运算及赋值,关系逻辑运算,位运算,编译器优化)并实战逆向某个程序 流程控制语句识别(if else语句,switch语句) 函数工作原理(栈帧,ebp,esp寻址,函数参数,函数返回值) 变量在内存中位置和访问方式(全局变量,局部变量,数组寻址) 结构体和类的分析 |
系统漏洞挖掘基础 | 系统栈的工作原理 shellcode编写及使用msf生成shellcode 漏洞挖掘的基本方法 |
攻击前奏 | 信息收集:Google Hacking信息搜索,Nmap、wwwscan、DirBuster等工具使用 火狐浏览器插件使用 漏洞扫描:Nessus,WVS等扫描工具使用 社会工程学在渗透中的利用 |
攻击进行时 | SQL注入技巧 注入工具的使用:SQLMAP,Pangolin使用技巧 XSS高级利用技巧:内网探测 常规漏洞实战:上传漏洞,命令执行等 暴力破解:Burpsuite,Hydra等工具实战 隐蔽WEBSHELL的几种实现 Metasploit渗透实践 Kali安全渗透实践 |
检测躲避 | WAF绕过技术 |
权限提升 | Windows服务器常见的提权方法 Linux服务器常见的提权方法 |
长期控制 | 木马免杀技术概述 木马免杀方法 |