武漢網(wǎng)絡(luò)信息安全工程師升級班（Web滲透與安全）

【課程介紹】

現(xiàn)代網(wǎng)絡(luò)中網(wǎng)絡(luò)安全以及成為人們?nèi)找骊P(guān)注的焦點(diǎn)問題。目前，利用計算機(jī)網(wǎng)絡(luò)實(shí)施犯罪的案件屢見不鮮，黑客們通過各種方法向目標(biāo)計算機(jī)發(fā)動各種攻擊，對社會政治、經(jīng)濟(jì)、文化等方面照成了不可估計的損失。本課程從產(chǎn)品、技術(shù)、管理等多方面按照由淺入深、循序漸進(jìn)、分類型進(jìn)行敘述。每一部分都以理論結(jié)合實(shí)際案例方式講解，使學(xué)員盡快掌握知識并運(yùn)用到實(shí)際工作和生活中。

現(xiàn)階段，網(wǎng)站安全已經(jīng)成為互聯(lián)網(wǎng)上的熱門話題，為檢測網(wǎng)站漏洞、防止黑客攻擊，北斗教育特推出Web滲透與防御課程，深入了解黑客攻擊手段，目前在國內(nèi)，沒有針對性的實(shí)地培訓(xùn)，然而在國內(nèi)的安全人才也十分缺乏，目前互聯(lián)網(wǎng)病毒與攻擊十分泛濫，黑客猖狂不絕，多數(shù)大中小型企業(yè)網(wǎng)站面臨黑客的光顧，數(shù)據(jù)外泄，平均每20秒就有一個網(wǎng)站被入侵，這為企業(yè)帶來了不可估量的損失。

【適合群體】

本科畢業(yè)生、計算機(jī)相關(guān)專業(yè)、大學(xué)計算機(jī)方向教師、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和廣大網(wǎng)絡(luò)技術(shù)愛好者。 大、中型網(wǎng)絡(luò)信息系統(tǒng)管理人員；

Web開發(fā)人員，站長或網(wǎng)站運(yùn)營公司內(nèi)技術(shù)人員，網(wǎng)站安全技術(shù)從業(yè)人員及愛好者；

首席技術(shù)官CTO，網(wǎng)站安全負(fù)責(zé)人，信息安全主管，網(wǎng)絡(luò)安全工程師，技術(shù)部經(jīng)理，網(wǎng)絡(luò)警察，安全顧問，其他IT安全相關(guān)職位，自主創(chuàng)業(yè)。

【課程設(shè)置】

（一）、安全大事件回顧與思考 安全真實(shí)案例回顧與討論

1，安全都涉及什么

2，如何來預(yù)防安全事故

3，安全測試的目標(biāo)和范圍

4，安全原理：威脅建模 標(biāo)識資源（敏感數(shù)據(jù)）

5，創(chuàng)建總體體系結(jié)構(gòu)

6，分解應(yīng)用程序標(biāo)識特權(quán)代碼

7，識別威脅、記錄威脅、評價威脅

（二）、Web安全需求分析

1，列出網(wǎng)站資源：業(yè)務(wù)數(shù)據(jù)，應(yīng)用程序，服務(wù)，配置數(shù)據(jù)，頁面

2，建立資源分布圖，確定資源位置

3，確定資源信任邊界

4，確定資源授權(quán)范圍

5，建立資源防范目錄

（三）、Web應(yīng)用漏洞及檢測方法 常見的操作系統(tǒng)漏洞和檢查方法

1，常見的數(shù)據(jù)庫漏洞和檢查方法

2，Web服務(wù)漏洞和檢查方法

3，網(wǎng)絡(luò)通信漏洞和檢查方法

4，配置文件漏洞和檢查方法

5，其他資源漏洞和檢查方法

6，設(shè)計安全測試用例 確定安全測試點(diǎn)

7，預(yù)見可能的入侵事件

8，分析入侵事件的觸發(fā)條件

（四）、Web入侵常用工具的介紹與使用

1，常見攻擊工具 Mpack

2，Neosploit

3，ZeuS

4，Nukesploit P4ck

5，Phoenix

6，常見安全檢查工具 IBM Rational AppScan

7，WebInspect

8，NStalker-WAS

9，Acunetix Web Vulnerability Scanner（WVS)

10，基礎(chǔ)常用工具：明小子、御劍、穿山甲、中國菜刀等

（五）、Web信息收集與安全檢測

1，信息收集

2，探查、踩點(diǎn)

3，欺騙

4，會話劫持

5，中間人攻擊

6，安全檢測、病毒、特洛伊木馬和蠕蟲

7，破解密碼

8，拒絕服務(wù)

9，任意執(zhí)行代碼

10，未授權(quán)訪問

（六）、Web應(yīng)用常見威脅及其對策

1，標(biāo)準(zhǔn)化漏洞

2，身份驗(yàn)證相關(guān)的威脅及其對策

3，針對授權(quán)的威脅及其對策

4，針對配置管理的威脅及對策

5，安全的加密

6，對抗針對操作

7，異常處理

8，緩沖區(qū)溢出攻擊

（七）、Web安全審計和使用日志跟蹤安全相關(guān)事件

1，將日志寫入文件/數(shù)據(jù)庫

2，使用系統(tǒng)安全日志

3，日志異常與跟蹤

4，調(diào)查取證

（八）、Web入侵防御實(shí)戰(zhàn)與環(huán)境搭建

1，本地Web環(huán)境搭建：通過IIS搭建asp.net、php、jsp、ftp環(huán)境

2，信息收集探測與掃描：利用google hack、Nmap、Scscannrr、WVS,IBMappScan 進(jìn)行探測與掃描；

3，入侵方式與防御：SQL注入、二次注入、繞過,XSS、文件上傳、php碰撞、腳本攻擊、編輯器漏洞、中轉(zhuǎn)注入、遠(yuǎn)程代碼執(zhí)行、包含漏洞、遍歷目錄、暴力破解、終端繞過與突破、旁注與C段、FTP弱口令破解、msf滲透、數(shù)據(jù)庫脫褲與破解、提權(quán)；

4，漏洞挖掘與0day

5，社會工程學(xué)

6，怎么樣才能使您的服務(wù)器與WEB站點(diǎn)更安全；

7，內(nèi)網(wǎng)滲透測試，網(wǎng)絡(luò)異常數(shù)據(jù)分析，內(nèi)網(wǎng)滲透測試原理與實(shí)踐；

【證書樣本】

【課程優(yōu)勢】

安全人才也是各大企業(yè)爭先搶要的人才，有的企業(yè)為聘請一個安全人才，不甚花費(fèi)重金聘請，但后還是一才難求，為培養(yǎng)人才，北斗教育的安全培訓(xùn)，結(jié)合企業(yè)用人特點(diǎn)與技術(shù)需求；

綜合企業(yè)招聘需求和人才期望，量身定制企業(yè)的實(shí)用技術(shù)人才；

綜合我們學(xué)員的特點(diǎn)挖掘企業(yè)崗位，做到學(xué)員適才適崗；每日實(shí)戰(zhàn)，理論與實(shí)際相結(jié)合、為企業(yè)培養(yǎng)內(nèi)核級的安全人才。

【學(xué)習(xí)環(huán)境】