网络渗透测试及攻防实战

网络渗透测试及攻防实战

一、课程描述：

本课程主要讲述了常见的基于Web的漏洞渗透以及代码审计防御办法，比如SQL注入、XSS跨站脚本注入、目录遍历漏洞、代码与命令执行漏洞、文件上传下载漏洞、未授权和越权访问漏洞、逻辑漏洞及弱口令等，最后讲述如何使用WebShell打开后门及应急办法。

二、课程大纲：

第1讲、技术基础

Web应用程序安全与风险

HTTP请求与响应

HTTP方法、消息头讲解

不安全的Http方法漏洞实战测试

Cookie、响应状态码、身份验证讲解

Http编码方案

渗透测试环境搭建

第2讲、安全渗透测试工具使用

黑客攻击流程

信息收集与扫描技术

Kali平台使用

网络安全审计工具：Nmap

Burp基本应用

SQLMAP

第3讲、跨站脚本XSS渗透测试

XSS讲解

XSS演示

第4讲、SQL注入漏洞原理及检测利用

SQL注入利用思路

MYSQL注入的利用

第5讲、目录遍历漏洞原理及检测利用

目录遍历漏洞

目录遍历实战

第6讲、代码/命令执行漏洞原理及检测利用

代码/命令执行漏洞原理

代码/命令执行漏洞挖掘

代码/命令执行漏洞防护

第7讲、文件上传漏洞原理及检测利用

文件上传漏洞原理

文件上传漏洞实战与防护

第8讲、逻辑漏洞原理及检测利用

逻辑漏洞原理

逻辑漏洞实操

第9讲、弱口令漏洞原理及检测利用

弱口令介绍

弱口令实践

第10讲、权限提升

Windows提权技术

Liunx内网提权技术

第11讲、权限维持技术

Windows权限维持概述及隐藏技巧；

关闭杀软；

注册表自启动；

计划任务；

服务自启动；

Liunx权限维持概述及隐藏技巧；

添加用户；

SUIDshell；

SSH公私钥；

软连接；

crontab计划任务；

第12讲、痕迹清理

Windows操作系统的痕迹清理；

Windows痕迹清理的基本思路和思考逻辑；

Windows清理登录痕迹、操作痕迹及时间痕迹；

Linux操作系统的痕迹清理；

Linux痕迹清理的基本思路和思考逻辑；

Linux清理登录痕迹、操作痕迹及时间痕迹