位置: 首页 > 昆明网络工程师 > 昆明十大Web渗透防御培训
昆明十大Web渗透防御培训
预约试听
  • 昆明达内 网络安全培训

    网络安全培训、学习、职场入门更轻松

    在线咨询

课程详情

Web渗透防御


网络安全培训课程学习目标:

1.熟悉Web平台项目结构、网站应用的基础开发、网站应用部署过程,掌握各种网络攻击的路径和流程。

2.掌握信息收集的方法和常用工具、漏洞及利用的方法和工具,能够针对目标网站执行有效的漏洞分析。

3.熟悉OWASPTop10十大网站漏洞原理、漏洞利用方式和漏洞修复建议,能够部署WAF网站应用防火墙,并合理编写防护规则。

4.掌握网站SQL注入攻击的常用方法,包括数字/字符型注入、搜索性注入、报错注入、布尔盲注、时间盲注、宽字节注入、二次注入等,学会使用手工注入及Sqlmap工具注入。

5.掌握Windows提权、Linux提权、数据库提权、第三方软件提权等常用的提权方法,掌握Windows权限维持、Linux权限维持、渗透测试框架权限维持等常用的权限维持方法,掌握常见免杀工具的使用。

6.能够使用内网渗透代理,**搜集及利用内网信息,掌握常见的后渗透攻击方法。

7.能够规划并部署信息系统的安全加固策略,包括Windows/Linux操作系统安全加固、Apache网站安全加固、MySQL/MariaDB数据库安全加固等。

8.能够编写渗透测试方案,完成渗透测试授权和测试备案、准备渗透测试环境、编写渗透测试报告,以及实施渗透测试报告的汇报,掌握漏洞复测方法,能针对常见漏洞提供合理的修复建议。


网络安全培训课程Web应用基础

网络安全培训课程核心技能:

1.Web应用平台:Web应用环境部署、WEB应用组成及工作流程、B/Sj架构、网站前端与服务器端、FireFox浏览器插件、VSCode安装及基础配置

2.HTML超文本标记:HTML页面结构、常用文本标签、结构标签、标签属性、超链接、图片引入、图片链接、表单标签、表单元素属性、表单控件、控件属性、iframe网页内嵌、iframe样式设置

3.JavaScript/JS:CSS层叠样式表、JavaScript语言基础、ECMAScript、输入输出、变量、数据类型、运算符、流程控制、循环结构、函数、对象、JS使用方式、DOM文档对象模型、元素绑定事件操作、BOM浏览器对象模型

4.数据库:SQL数据库基础、建库建表、删库删表、数据类型、属性、约束、SQL数据基本增删改查操作、orderby应用、union查询、MySQL元数据库information_schema介绍

5.PHP基础:HTTP超文本传输协议、HTTP请求/响应、HTTP状态码、PHP语言基础、变量、数据类型、运算符、流程控制、循环结构、函数、数组及遍历、类和对象、OOP面向对象编程

6.PHP进阶:函数安全应用、超级全局变量、表单传参与数据接收、表单过滤、正则表达式校验、Cookie和Session会话、MySQLi连接数据库、建库建表/增删改查、MySQLi预处理


网络安全培训课程项目贯穿:

1.使用HTML设计网页:HTML常用标签样式、HTML表单属性设置、表单控件、iframe标签内嵌外部网页、iframe网站全屏内嵌

2.JavaScript网页应用检测:CSS内联、内嵌、外链使用方式、JavaScript平年闰年判断、分数定级判断、函数完成判断数据大小操作、对象声明及取值赋值操作

3.SQL数据库设计和开发:SQL语句建库操作、SQL建表操作、删库删表、数据的增删改查、PHP对象声明及取值赋值、PHP构造函数应用

4.网页表单验证:表单制作、表单验证、使用Session和Cookie完成登录操作、使用Session完成文章展示浏览量功能


网络安全培训课程SQL注入

网络安全培训课程核心技能:

1.普通手动SQL注入:SQL注入原理、SQL注入分类、判断SQL注入点、orderby判断表字段数量、union确定网页显示字段、union获取数据库名、借助information_schema元数据库获取数据表名、获取字段名、拖库、加密数据解密

2.SQL盲注、BurpSuite辅助SQL注入:判断注入点、手动构造SQL判断获取数据库名、手动构造SQL获取数据表名、手动构造SQL获取字段名、手动构造SQL拖库、加密数据解密、BurpSuite数据库名爆破、、BurpSuite数据表名爆破、BurpSuite字段名爆破、BurpSuite数据爆破

3.sqlmap自动SQL注入、SQL注入防护:sqlmap判断SQL注入点、sqlmap命令获取网站所有数据库名、sqlmap命令获取网站使用数据库名、sqlmap命令获取数据库中所有数据表名、sqlmap命令获取所有表字段名、sqlmap命令拖库到本地、sqlmap加密数据自动解密、代码层面SQL注入防护、服务器配置层面SQL注入防护、WAF应用SQL注入防护


网络安全培训课程项目贯穿:

1.普通手动SQL注入:手动判断SQL注入点、手动猜解表字段数量、手动确定网页显示字段、手动确定数据库名、手动获取数据表名、手动获取表字段名、手动拖库、手动数据解密

2.SQL盲注、BurpSuite辅助SQL注入:使用手动方式对无回显报错页面进行SQL盲注拖库、使用BurpSuite软件辅助SQL盲注拖库

3.sqlmap自动SQL注入、SQL注入防护:掌握sqlmap获取所有数据库命令、获取正在使用数据库命令、获取所有数据表命令、获取所有表字段命令、拖库命令、掌握SQL注入防御措施、代码层面SQL注入防护、服务器配置层面SQL注入防护、WAF应用安装与SQL注入防护


网络安全培训课程Web安全

网络安全培训课程核心技能:

1.Web应用安全概念:Web应用安全的重要性、Web安全事件、Web应用的体系结构、OWASP开源组织介绍、OWASPTOP10简介

2.OWASPTOP10原理、利用方式及漏洞修复:XSS跨站脚本、存储型XSS、反射型XSS、DOM型XSS、CSRF/SSRF漏洞、RCE原理、文件上传漏洞、文件包含漏洞、序列化/反序列化漏洞、XML文档、XXE漏洞、逻辑漏洞

3.靶场部署及应用:基于DVWA靶场的CSRF实践、基于DVWA靶场的RCE实践、基于DWWA靶场的文件上传漏洞实践、基于DVWA靶场的文件包含漏洞实践、基于pikachu靶场的SSRF实践、基于pikachu靶场的爆破实验、基于upload-labs靶场的文件上传漏洞实践、基于pikachu靶场的文件包含漏洞实践、基于pikachu靶场的水平越权实践及漏洞修复

4.代码审计:代码审计的概念、代码的审计步骤、代码审计的方法、代码审计工具的使用


网络安全培训课程项目贯穿:

1.基于pikachu靶场的攻防实践:暴力破解、XSS漏洞、CSRF漏洞、RCE漏洞、文件包含漏洞、越权漏洞、反序列化漏洞、XXE漏洞、SSRF漏洞

2.基于DVWA靶场的攻防实践:命令注入漏洞、文件包含漏洞、文件上传漏洞、XSS漏洞、CSRF漏洞、命令注入漏洞

3.基于upload-labs的攻防实践:pass01-前端检查绕过、pass02-文件类型绕过、pass03~pass08-文件后缀绕过

4.使用seay代码审计工具对blueCMS进行代码审计


网络安全培训课程安全加固

网络安全培训课程核心技能:

1.WAF网站应用防火墙:WAF的概念、功能和分类、ModSecurity规则、Ubuntu搭建测试靶机、OWASP规则集的部署、WAF绕过技术、WAF绕过实验

2.Windows安全加固:Windows身份鉴别、Windows访问控制、Windows安全审计、Windows入侵防范

3.Linux安全加固:Linux身份鉴别、Linux访问控制、Linux安全审计、Linux入侵防范

4.数据库安全加固:MySQL身份鉴别、MySQL访问控制、MySQL安全审计、MySQL入侵防范、MySQL其它安全配置

5.Apache安全加固:Apache身份鉴别、Apache访问控制、Apache安全审计、Apache入侵防范、Apache恶意代码防范、Apache数据保密


网络安全培训课程项目贯穿:

1.开源WAF-modsecurity实践:LAMP环境安装部署、DVWA安装部署、编写modsecurity规则集、OWASP规则集的部署

2.Windows系统加固:组权限、密码策略、本地策略、审核策略、用户权限指派、安全选项、关闭或限制文件共享、关闭不必要的服务或限制服务权限、防火墙、日志审计、关闭自动播放

3.Linux系统加固:保护root账户、清除系统多余账户、检测空口令账户、禁用危险服务、关闭非必要服务、syslog日志服务

4.MySQL数据库的用户控制:修改root用户名、禁止root账号远程登录、删除危险账户、文件操作控制、网络访问限制

5.Apache安全配置:开发安全、服务器降权运行、目录权限控制、服务器配置安全、传输安全、文件安全、外围加固


网络安全培训课程渗透测试实战核心技能:

1.CTF夺旗实战:CTF夺旗赛制、红蓝对抗、基于CTF靶场DC-5的渗透测试

2.渗透测试实战:渗透测试流程、编写渗透测试方案、渗透测试授权和测试备案、渗透测试环境准备、渗透测试报告的编制、渗透测试报告的汇报、常见漏洞的修复建议、漏洞复测


网络安全培训课程项目贯穿:

1.DC-5渗透测试:DC-5的安装和部署、NMAP扫描内网和服务、浏览DC-5网站、御剑后台目录扫描、利用Get参数上传一句话木马、使用中国蚁剑连接DC-5、使用NC工具反弹连接DC-5、查找suid权限的文件、利用screen4.5漏洞提权、获取flag

2.Joomla渗透测试:Joomla的安装和部署、Joomla中文简体语言包的安装、使用awvs扫描Joomla、手工验证CVE-2018-8045漏洞、使用Sqlmap对CVE-2018-8045漏洞利用、手工验证CVE-2017-7986漏洞、CVE-2017-7986漏洞利用、编写渗透测试报告。


关于我们

  • 每年十万人选择的培训 自然是好培训

    ——

    达内教育成立于2002年9月,是面向IT互联网行业, 培训培养软件开发工程师、测试工程师、智能硬件工程师、UI设计师、网络营销师等职场人才的教育机构。


    ◆目前,达内教育已在北京、上海、广州、深圳、南京等41座大中城市建立300家线下学习中心

    ◆覆盖3-33岁全年龄段用户,为其提供全周期、系统化的人才培养服务

    ◆与1200多所高校建立应用型人才培养的合作,为20万家企业输送人才,累计服务120万+职业人才


达内教育(昆明吴井路中心)



昆明达内教育

进入机构首页
昆明达内教育

上课地址:昆明市官渡区春城路62号证劵大厦

预约试听

倒计时:
11 : 58 : 41
其他试听课程
机构全部课程

学校课程导航