易霖博信息安全培訓

Web滲透與安全：

一、課程介紹
    現代網絡中網絡安全以及成為人們日益關注的焦點問題。目前，利用計算機網絡實施犯罪的案件屢見不鮮，黑客們通過各種方法向目標計算機發動各種攻擊，對社會政治、經濟、文化等方面照成了不可估計的損失。本課程從產品、技術、管理等多方面按照由淺入深、循序漸進、分類型進行敘述。每一部分都以理論結合實際案例方式講解，使學員盡快掌握知識并運用到實際工作和生活中。
    現階段，網站安全已經成為互聯網上的熱門話題，為檢測網站漏洞、防止黑客攻擊，易霖博特推出Web滲透與防御課程，深入了解黑客攻擊手段，目前在國內，沒有針對性的實地培訓，然而在國內的安全人才也十分缺乏，目前互聯網病毒與攻擊十分泛濫，黑客猖狂不絕，多數大中小型企業網站面臨黑客的光顧，數據外泄，平均每20秒就有一個網站被入侵，這為企業帶來了不可估量的損失。
二、課程優勢：
    安全人才也是各大企業爭先搶要的人才，有的企業為聘請一個安全人才，不甚花費重金聘請，但最后還是一才難求，為培養人才，易霖博的安全培訓，結合企業用人特點與技術需求；
    綜合企業招聘需求和人才期望，量身定制企業的實用技術人才；
    綜合我們學員的特點挖掘企業崗位，做到學員適才適崗；每日實戰，理論與實際相結合、為企業培養內核級的安全人才。
三、適合群體：
    本科畢業生、計算機相關專業、大學計算機方向教師、系統管理員、網絡管理員和廣大網絡技術愛好者。 大、中型網絡信息系統管理人員；
    Web開發人員，站長或網站運營公司內技術人員，網站安全技術從業人員及愛好者；
    首席技術官CTO，網站安全負責人，信息安全主管，網絡安全工程師，技術部經理，網絡警察，高級安全顧問，其他IT安全相關職位，自主創業。
四、課程大綱：

（一）、安全大事件回顧與思考 安全真實案例回顧與討論	1，安全都涉及什么 2，如何來預防安全事故 3，安全測試的目標和范圍 4，安全原理：威脅建模 標識資源（敏感數據） 5，創建總體體系結構 6，分解應用程序標識特權代碼 7，識別威脅、記錄威脅、評價威脅 安全網關、入侵檢測 ： 防火墻 、VPN技術 、端口映射 、包過濾 、狀態檢測 、DDOS攻擊原理 、協議基礎 、流量整形技術QOS 、上網行為控制技術
（二）、Web安全需求分析	1，列出網站資源：業務數據，應用程序，服務，配置數據，頁面 2，建立資源分布圖，確定資源位置 3，確定資源信任邊界 4，確定資源授權范圍 5，建立資源防范目錄
（三）、Web應用漏洞及檢測方法 常見的操作系統漏洞和檢查方法	1，常見的數據庫漏洞和檢查方法 2，Web服務漏洞和檢查方法 3，網絡通信漏洞和檢查方法 4，配置文件漏洞和檢查方法 5，其他資源漏洞和檢查方法 6，設計安全測試用例 確定安全測試點 7，預見可能的入侵事件 8，分析入侵事件的觸發條件
（四）、Web入侵常用工具的介紹與使用	1，常見攻擊工具 Mpack 2，Neosploit 3，ZeuS 4，Nukesploit P4ck 5，Phoenix 6，常見安全檢查工具 IBM Rational AppScan 7，WebInspect 8，NStalker-WAS 9，Acunetix Web Vulnerability Scanner（WVS) 10，基礎常用工具：明小子、御劍、穿山甲、中國菜刀等
（五）、Web信息收集與安全檢測	1，信息收集 2，探查、踩點 3，欺騙 4，會話劫持 5，中間人攻擊 6，安全檢測、病毒、特洛伊木馬和蠕蟲 7，破解密碼 8，拒絕服務 9，任意執行代碼 10，未授權訪問
（六）、Web應用常見威脅及其對策	1，標準化漏洞 2，身份驗證相關的威脅及其對策 3，針對授權的威脅及其對策 4，針對配置管理的威脅及對策 5，安全的加密 6，對抗針對操作 7，異常處理 8，緩沖區溢出攻擊
（七）、Web安全審計和使用日志跟蹤安全相關事件	1，將日志寫入文件/數據庫 2，使用系統安全日志 3，日志異常與跟蹤 4，調查取證
（八）、Web入侵防御實戰與環境搭建	1，本地Web環境搭建：通過IIS搭建asp.net、php、jsp、ftp環境 2，信息收集探測與掃描：利用google hack、Nmap、Scscannrr、WVS,IBMappScan 進行探測與掃描； 3，入侵方式與防御：SQL注入、二次高級注入、繞過,XSS、文件上傳、php碰撞、腳本攻擊、編輯器漏洞、中轉注入、遠程代碼執行、包含漏洞、遍歷目錄、暴力破解、終端繞過與突破、旁注與C段、FTP弱口令破解、msf滲透、數據庫脫褲與破解、提權； 4，漏洞挖掘與0day 5，社會工程學 6，怎么樣才能使您的服務器與WEB站點更安全； 7，內網滲透測試，網絡異常數據分析，內網滲透測試原理與實踐；