    Web滲透與安全滲透測試培訓

（一）、安全大事件回顧與思考安全真實案例回顧與討論
1，安全都涉及什么
2，如何來預防安全事故
3，安全測試的目標和范圍
4，安全原理：威脅建模標識資源（敏感數(shù)據(jù)）
5，創(chuàng)建總體體系結(jié)構(gòu)
6，分解應用程序標識特權(quán)代碼
7，識別威脅、記錄威脅、評價威脅
（二）、Web安全需求分析
1，列出資源：業(yè)務數(shù)據(jù)，應用程序，服務，配置數(shù)據(jù)，頁面
2，建立資源分布圖，確定資源位置
3，確定資源信任邊界
4，確定資源授權(quán)范圍
5，建立資源防范目錄
（三）、Web應用漏洞及檢測方法常見的操作系統(tǒng)漏洞和檢查方法
1，常見的數(shù)據(jù)庫漏洞和檢查方法
2，Web服務漏洞和檢查方法
3，網(wǎng)絡通信漏洞和檢查方法
4，配置文件漏洞和檢查方法
5，其他資源漏洞和檢查方法
6，設計安全測試用例確定安全測試點
7，預見可能的入侵事件
8，分析入侵事件的觸發(fā)條件
（四）、Web入侵常用工具的介紹與使用
1，常見攻擊工具Mpack
2，Neosploit
3，ZeuS
4，NukesploitP4ck
5，Phoenix
6，常見安全檢查工具IBMRationalAppScan
7，WebInspect
8，NStalker-WAS
9，AcuixWebVulnerabilityScanner（WVS)
10，基礎常用工具：明小子、御劍、穿山甲、中國菜刀等
（五）、Web信息收集與安全檢測
1，信息收集
2，探查、踩點
3，欺騙
4，會話劫持
5，中間人攻擊
6，安全檢測、病毒、特洛伊木馬和蠕蟲
7，破解密碼
8，拒絕服務
9，任意執(zhí)行代碼
10，未授權(quán)訪問
（六）、Web應用常見威脅及其對策
1，標準化漏洞
2，身份驗證相關的威脅及其對策
3，針對授權(quán)的威脅及其對策
4，針對配置管理的威脅及對策
5，安全的加密
6，對抗針對操作
7，異常處理
8，緩沖區(qū)溢出攻擊
（七）、Web安全審計和使用日志跟蹤安全相關事件
1，將日志寫入文件/數(shù)據(jù)庫
2，使用系統(tǒng)安全日志
3，日志異常與跟蹤
4，調(diào)查取證
（八）、Web入侵防御實戰(zhàn)與環(huán)境搭建
1，本地Web環(huán)境搭建：通過IIS搭建asp.、php、jsp、ftp環(huán)境
2，信息收集探測與掃描：利用googlehack、Nmap、Scscannrr、WVS,IBMappScan進行探測與掃描；
3，入侵方式與防御：SQL注入、二次高級注入、繞過,XSS、文件上傳、php碰撞、腳本攻擊、編輯器漏洞、
中轉(zhuǎn)注入、遠程代碼執(zhí)行、包含漏洞、遍歷目錄、暴力破解、終端繞過與突破、旁注與C段、FTP弱口令破解、msf滲透、數(shù)據(jù)庫脫褲與破解、提權(quán)；
4，漏洞挖掘與0day
5，社會工程學
6，怎么樣才能使您的服務器與WEB站點更安全；
7，內(nèi)網(wǎng)滲透測試，網(wǎng)絡異常數(shù)據(jù)分析，內(nèi)網(wǎng)滲透測試原理與實踐；