一、课程描述
本课程结合企业实际工作场景,根据常见渗透技术、防御策略、典型案例、典型问题等设计而成,通过理论课程与实操结合方式授课,提高人员的安全意识和攻防技能。在网络安全攻防技术方面,通过“红黑演义攻防演练云平台”,使学员进行攻击及防守的实操练习,通过“知己知彼”的战术,提高单位网络安全人员的攻防技能。
二、培训特色
理论结合实践、典型案例场景分析与最佳实践分享;
针对行业和网络安全问题进行专题讨论、分组沙盘演练;
讲师实操演示 + 学员亲自动手实践。
上午讲解战术策略,下午讲解实战演练,实现最大学员知识吸收率
三、培训课时
本培训共4天,每天6课时。
上课时间:上午:09:00-12:00 下午:13:30-16:30
四、总体目标
深度理解黑客入侵流程及常见攻击的手法以及对于类似攻击的防范方法。讲解渗透测试思路、渗透路线、渗透测试突破口和常见渗透测试场景。
渗透测试的流程是什么?最关键的一步是哪个?
WEB攻击的攻击流程有哪些?如何绕过安全限制?有哪些手法?
常用数据有哪些?安全漏洞经常会出现在哪里?
企业网络黑客破坏场景重现与企业防御构建
应用系统与数据库安全最新攻防技术与实战场景演练
Windows系统黑客破坏场景重现与企业攻防实践
Linux系统黑客破坏场景重现与企业攻防实践
信息系统WEB入侵分析与攻防实践
四、培训大纲
时间 | 课程大纲 | 课程内容 |
第一天 上午 | 典型网络安全入侵事件重现与分析 | 课程导入与案例概述 入侵踩点预警与对策 系统框架漏洞被利用原理与对策 软件代码漏洞分析与对策 社工利用分析与对策 单位内部人员风险分析与对策 |
第一天 下午 | 网络攻防与信息安全技术基础 | 常见的网络攻击类型与手段概述 渗透测试的定义与重要性 渗透测试流程: 信息收集 漏洞扫描与发现 漏洞利用与提权 持久化及后渗透攻击 渗透测试报告编写 |
第二天 上午 | 电子商务系统SQL注入入侵分析与攻防实践 | 如何目标网站信息收集? 如何发现注入点 如何破解MD5密码密文 如何通过webshell上传提取文件 如何执行Linux提取指令 如何添加Linux系统账号后门 |
第二天 下午 | XSS跨站入侵重现分析与防范实践 | 攻击者发现并利用应用程序跨站漏洞 管理员查看留言信息 攻击者跨站脚本自动添加网站后台管理员账号 攻击者登录管理后台 攻击者给LINUX系统添加ROOTKIT后门 |
第三天 上午 | CSRF高级脚本入侵分析与防范实践重现 | 跨站请求伪造CSRF原理 跨站请求伪造CSRF攻击实践 跨站请求伪造行为分析 跨站请求伪造CSRF攻击 跨站请求伪造CSRF防御方法 |
第三天 下午 | 高级钓鱼入侵重现分析与防范实践 | 攻击者社工构造并提交包含跨站钓鱼信息 管理员查看钓鱼信息 攻击者肉鸡自动获取管理员网站后台账号密码 管理员加强安全防范意识和操作习惯 |
| 日志系统搭建与入侵痕迹分析 | Linux系统日志服务器搭建 Linux系统定时任务设置 Linux系统日志隐藏与取证 从日志清除与分析入侵痕迹 |
第四天 上午 | 渗透测试攻防实践练习一 | 操作系统端口扫描实操 操作系统提权实操 操作系统账号暴力破解实操 缓冲区溢出与漏洞利用实操 注册表提权分析实操 |
第四天 下午 | 渗透测试攻防实践练习二 | 服务器渗透与检测实操 操作系统渗透提权实操 木马查找与病毒分析实操 文件上传漏洞与防御实操 入侵痕迹分析实操 日志分析实操 课程总结与答疑 |
