【課程介紹】
現(xiàn)代網(wǎng)絡(luò)中網(wǎng)絡(luò)安全以及成為人們?nèi)找骊P(guān)注的焦點(diǎn)問題。目前,利用計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施犯罪的案件屢見不鮮,黑客們通過各種方法向目標(biāo)計(jì)算機(jī)發(fā)動(dòng)各種攻擊,對社會(huì)政治、經(jīng)濟(jì)、文化等方面照成了不可估計(jì)的損失。本課程從產(chǎn)品、技術(shù)、管理等多方面按照由淺入深、循序漸進(jìn)、分類型進(jìn)行敘述。每一部分都以理論結(jié)合實(shí)際案例方式講解,使學(xué)員盡快掌握知識并運(yùn)用到實(shí)際工作和生活中。
現(xiàn)階段,網(wǎng)站安全已經(jīng)成為互聯(lián)網(wǎng)上的熱門話題,為檢測網(wǎng)站漏洞、防止黑客攻擊,北斗教育特推出Web滲透與防御課程,深入了解黑客攻擊手段,目前在國內(nèi),沒有針對性的實(shí)地培訓(xùn),然而在國內(nèi)的安全人才也十分缺乏,目前互聯(lián)網(wǎng)病毒與攻擊十分泛濫,黑客猖狂不絕,多數(shù)大中小型企業(yè)網(wǎng)站面臨黑客的光顧,數(shù)據(jù)外泄,平均每20秒就有一個(gè)網(wǎng)站被入侵,這為企業(yè)帶來了不可估量的損失。
【適合群體】
本科畢業(yè)生、計(jì)算機(jī)相關(guān)專業(yè)、大學(xué)計(jì)算機(jī)方向教師、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和廣大網(wǎng)絡(luò)技術(shù)愛好者。 大、中型網(wǎng)絡(luò)信息系統(tǒng)管理人員;
Web開發(fā)人員,站長或網(wǎng)站運(yùn)營公司內(nèi)技術(shù)人員,網(wǎng)站安全技術(shù)從業(yè)人員及愛好者;
首席技術(shù)官CTO,網(wǎng)站安全負(fù)責(zé)人,信息安全主管,網(wǎng)絡(luò)安全工程師,技術(shù)部經(jīng)理,網(wǎng)絡(luò)警察,安全顧問,其他IT安全相關(guān)職位,自主創(chuàng)業(yè)。
【課程設(shè)置】
(一)、安全大事件回顧與思考 安全真實(shí)案例回顧與討論
1,安全都涉及什么
2,如何來預(yù)防安全事故
3,安全測試的目標(biāo)和范圍
4,安全原理:威脅建模 標(biāo)識資源(敏感數(shù)據(jù))
5,創(chuàng)建總體體系結(jié)構(gòu)
6,分解應(yīng)用程序標(biāo)識特權(quán)代碼
7,識別威脅、記錄威脅、評價(jià)威脅
(二)、Web安全需求分析
1,列出網(wǎng)站資源:業(yè)務(wù)數(shù)據(jù),應(yīng)用程序,服務(wù),配置數(shù)據(jù),頁面
2,建立資源分布圖,確定資源位置
3,確定資源信任邊界
4,確定資源授權(quán)范圍
5,建立資源防范目錄
(三)、Web應(yīng)用漏洞及檢測方法 常見的操作系統(tǒng)漏洞和檢查方法
1,常見的數(shù)據(jù)庫漏洞和檢查方法
2,Web服務(wù)漏洞和檢查方法
3,網(wǎng)絡(luò)通信漏洞和檢查方法
4,配置文件漏洞和檢查方法
5,其他資源漏洞和檢查方法
6,設(shè)計(jì)安全測試用例 確定安全測試點(diǎn)
7,預(yù)見可能的入侵事件
8,分析入侵事件的觸發(fā)條件
(四)、Web入侵常用工具的介紹與使用
1,常見攻擊工具 Mpack
2,Neosploit
3,ZeuS
4,Nukesploit P4ck
5,Phoenix
6,常見安全檢查工具 IBM Rational AppScan
7,WebInspect
8,NStalker-WAS
9,Acunetix Web Vulnerability Scanner(WVS)
10,基礎(chǔ)常用工具:明小子、御劍、穿山甲、中國菜刀等
(五)、Web信息收集與安全檢測
1,信息收集
2,探查、踩點(diǎn)
3,欺騙
4,會(huì)話劫持
5,中間人攻擊
6,安全檢測、病毒、特洛伊木馬和蠕蟲
7,破解密碼
8,拒絕服務(wù)
9,任意執(zhí)行代碼
10,未授權(quán)訪問
(六)、Web應(yīng)用常見威脅及其對策
1,標(biāo)準(zhǔn)化漏洞
2,身份驗(yàn)證相關(guān)的威脅及其對策
3,針對授權(quán)的威脅及其對策
4,針對配置管理的威脅及對策
5,安全的加密
6,對抗針對操作
7,異常處理
8,緩沖區(qū)溢出攻擊
(七)、Web安全審計(jì)和使用日志跟蹤安全相關(guān)事件
1,將日志寫入文件/數(shù)據(jù)庫
2,使用系統(tǒng)安全日志
3,日志異常與跟蹤
4,調(diào)查取證
(八)、Web入侵防御實(shí)戰(zhàn)與環(huán)境搭建
1,本地Web環(huán)境搭建:通過IIS搭建asp.net、php、jsp、ftp環(huán)境
2,信息收集探測與掃描:利用google hack、Nmap、Scscannrr、WVS,IBMappScan 進(jìn)行探測與掃描;
3,入侵方式與防御:SQL注入、二次注入、繞過,XSS、文件上傳、php碰撞、腳本攻擊、編輯器漏洞、中轉(zhuǎn)注入、遠(yuǎn)程代碼執(zhí)行、包含漏洞、遍歷目錄、暴力破解、終端繞過與突破、旁注與C段、FTP弱口令破解、msf滲透、數(shù)據(jù)庫脫褲與破解、提權(quán);
4,漏洞挖掘與0day
5,社會(huì)工程學(xué)
6,怎么樣才能使您的服務(wù)器與WEB站點(diǎn)更安全;
7,內(nèi)網(wǎng)滲透測試,網(wǎng)絡(luò)異常數(shù)據(jù)分析,內(nèi)網(wǎng)滲透測試原理與實(shí)踐;
【證書樣本】
【課程優(yōu)勢】
安全人才也是各大企業(yè)爭先搶要的人才,有的企業(yè)為聘請一個(gè)安全人才,不甚花費(fèi)重金聘請,但后還是一才難求,為培養(yǎng)人才,北斗教育的安全培訓(xùn),結(jié)合企業(yè)用人特點(diǎn)與技術(shù)需求;
綜合企業(yè)招聘需求和人才期望,量身定制企業(yè)的實(shí)用技術(shù)人才;
綜合我們學(xué)員的特點(diǎn)挖掘企業(yè)崗位,做到學(xué)員適才適崗;每日實(shí)戰(zhàn),理論與實(shí)際相結(jié)合、為企業(yè)培養(yǎng)內(nèi)核級的安全人才。
【學(xué)習(xí)環(huán)境】