蚁安学院黑客培训之零基础学Web安全培训渗透测试教程计划.docxVIP

蚁安学院白帽黑客培训Z零基础学Web安全渗透测试教程(在线培训+实战培训) 课程介绍 本课程你讲学习到渗透测试中的环境搭建；信息收集；漏洞攻防；渗透工具使用；Web 编程；代码审计等Web安全技术。 本课程注重实战训练，通过章节作业，考试等手段来培养学生的实战能力，通过项冃驱 动培训学生研究问题与解决问题的能力。通过木课程的讲授与实践，培养学生过硬的动手实 践能力。 本课程的目标是让学生掌握渗透测试技术，并对Web应用的整体安全有较为深刻的认 识，并且掌握Web安全的渗透测试能力；代码审计能力。为学习网络安全领域内的其它课 程以及从事Web安全领域的工作打下坚实的基础。 必学人群 想学习白帽黑客的学牛和白领，且刚开始了解的Web安全渗透测试的菜鸟小白们。 渗透测试必学目录 第1章渗透测试零基础进阶篇 1、 渗透测试的常见环境搭建 靶场环境安装之ASP (简洁式和HS的安装) 靶场环境安装之 JSP (Apache Or PHPstudy) 靶场坏境安装之PI1P (Tomcat) 靶场环境安装Z Tomcat安装 dvwa漏洞演练平台安装及功能介绍 Linux Kal i 安装 坏境搭建之JAVA/Python (为渗透工具做准备) 环境搭建集合之宝塔 2、 HTTP协议讲解 http协议的状态码及返冋状态 常见的请求方式及消息(get、post^ put) 渗透中的作用(WAf和CDN分别检测哪些地方) 3、 常见Web后门木马检查 ASI\ PHP、JSP脚本后门手工及工具检测 webshel 1箱子后门以及 菜刀后门检查 shift/放大镜/等服务器后门木马检查 免杀远控/隐藏用户等后门木马检测 病毒分析引擎后门检测 4、 渗透测试中的信息收集 网站持有者信息搜集 搜索引擎 站内搜集 备案查询 whois查询 通过IDC搜集持有者信息 管理者账户 营业执照伪造 网站子域名收集 搜索引擎 穷举爆破 另类方法 Google黑客语法的用法(找后台及敏感信息) 目标开放服务探测 敏感服务介绍 如何利用TCP/UDP端口探测 目标所属网段探测 探测网段存活主机的操作系统 开放的一些服务 网站真实IP查找 邮件查找 cdn信息泄露 子域名真实1P 域名不同解析泄露真实IP 薄弱服务探测脚本 探测网段弱口令 可能产生漏洞的服务 网站危险信息探测 Phpinfo 敏感目录 备份文件泄露 java反序列化 第2章漏洞原理篇 5、 xss漏洞详细讲解及防御j 反射型xss注入漏洞原理剖析 储存型xss注入漏洞原理剖析 dom型xss注入漏洞原理剖析 xss注入漏洞如何优雅地绕过f i 1 ter xss注入漏洞利用及框架的使用 xss注入漏洞实例分析 6、 csrf漏洞讲解及防御j csrf漏洞的原理剖析 csrf漏洞的表单构造 csrf漏洞利用方法 7、 sql注入漏洞讲解及防御 sql注入原理 常用数据库注入 sql注入之读写文件 sql注入万能密码注入 SQL注入之盲注 sql注入之执行命令 8、 文件上传漏洞讲解及防御j 任意文件上传漏洞 js文件上传过滤绕过 mine类型上传过滤绕过 条件竞争上传过滤绕过 内容验证上传过滤绕过 服务器软件解析漏洞 9、 命令执行漏洞讲解及防御 命令注入原理及常用命令 命令注入绕过过滤 命令注入其他姿势 如何在代码屮规范 10、 文件包含漏洞讲解及防御 文件包含漏洞原理 文件包含漏洞利用Z远程文件包含 文件包含漏洞利用之本地文件包含 如何修复文件包含漏洞 文件包含漏洞案例分析 11、 ssrf漏洞讲解及防御j ssrf漏洞原理剖析 ssrf漏洞与内网探测 ssrf 与 redis 联动 getshell 的激情 12、 业务逻辑漏洞讲解及防御j 业务逻辑漏洞的任意密码修改 如何绕过网站密码修改验证 支付逻辑漏洞分析 四个奇葩逻辑漏洞案例分析 第3章渗透工具篇 13^ Metasploit 讲解 metasploit 安装 metasploit 框架介绍 metasploit 更新 metasploi t多模块介绍 metasploit 与 nmap 及 nessus 的协作 metasploit实践渗透靶机 metasploit 后门利用 metasploit的过安全引擎技术 metasploit提权技术及渗透测试 metasploit 维持访问 14^ Ninap I:具使用技巧 Nmap 安装 Nmap的脚本介绍 利用Nmap进行简单的扫描 Nmap渗透的多种方式扫描 Nmap的信息刺探功能 Nmap与安全审计 15、 扫描器工具技巧 Burpsuitc 自带的 scanner 板块 Awvs使用详解 Nessus使用详解 Appscan使用详解 Zap使用详解 Nikto使用详解 Jsky使