阶段3-基于渗透测试的应急响应

基于渗透测试的应急响应

一、课程描述：

本课程主要讲述了常见的基于Web的漏洞渗透以及代码审计防御办法，比如SQL注入、XSS跨站脚本注入、目录遍历漏洞、代码与命令执行漏洞、文件上传下载漏洞、未授权和越权访问漏洞、逻辑漏洞及弱口令等，最后讲述如何使用WebShell打开后门及应急办法。

二、课程大纲：

第1讲、技术基础

Web应用程序安全与风险

HTTP请求与响应

HTTP方法、消息头讲解

不安全的Http方法漏洞实战测试

Cookie、响应状态码、身份验证讲解

Http编码方案

渗透测试环境搭建

第2讲、安全工具使用

黑客攻击流程

信息收集与扫描技术

Kali平台使用

网络安全审计工具：Nmap

Burp基本应用

SQLMAP

第3讲、信息泄露

信息安全

个人信息泄露与防止

企业信息泄露与防止

第4讲、跨站脚本XSS

XSS讲解

XSS演示

第5讲、SQL注入式攻击

SQL注入利用思路

MYSQL注入的利用

第6讲、目录遍历

目录遍历漏洞

目录遍历实战

第7讲、代码/命令执行

代码/命令执行漏洞原理

代码/命令执行漏洞挖掘

代码/命令执行漏洞防护

第8讲、文件上传漏洞

文件上传漏洞原理

文件上传漏洞实战与防护

第9讲、未授权访问漏洞

未授权访问介绍

未授权访问实操演练

第10讲、越权漏洞

越权漏洞介绍

越权漏洞实操

第11讲、逻辑漏洞

逻辑漏洞原理

逻辑漏洞实操

第12讲、弱口令

弱口令介绍

弱口令实践

第13讲Webshell网络安全应急响应

Webshell概述检测防御

常规处置方法

常用工具

技术操作指南

典型处置案例