安全服务

您现在的位置 > 首页 > 安全服务 > 安全培训服务

 

 

一、安全培训服务介


1.1 WEB安全培训


随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web 平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。WEB安全培训课程基于OWASP TOP10 与国内主流漏洞所演化,包括但不限于:SQL注入、跨站脚本攻击、命令执行等。


1.2 系统安全培训


缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击,可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。系统安全培训涉及基础的缓冲区溢出原理,shellcode编写,漏洞高级利用等。


1.3信息安全培训收益


信息安全培训是成本最低、最有效利用现有技术和资源的、效果最快最显著的信息安全管理措施。作为信息安全咨询服务提供者,我们创建的信息安全培训可针对客户不同层次的安全需求而定制,全面融合了技术和管理的要素。借助各项培训课程,我们的专业培训人员将向客户传授从一般性的安全意识、到具体的安全攻防操作、再到高级的信息安全管理在内的全方位的安全知识和技能,从而提升客户在信息安全实践当中“人”这个决定因素的关键作用,为有效的信息安全提供保障。


二、安全培训目标与流程


2.1 培训目标


Web安全培训:

1.了解基本web漏洞的形成原因和利用方法;

2.掌握基本web漏洞的挖掘和利用;

3.了解常规web漏洞的代码审计方法;

4.了解基本web漏洞如SQL注入、XSS、越权、文件包含等的修复和防御;

5.熟悉相关web安全工具、web安全测试环境的使用和部署等。


系统安全培训:

1.了解常见系统漏洞的形成原因和利用方法;

2.了解基本系统安全配置和防护;

3.了解常见系统漏洞的挖掘;

4.了解系统安全相关安全工具的部署和使用。


2.2 培训流程

 


3.1 Web安全培训大纲


WEB安全基础

基础信息安全意识

OWASP TOP 10漏洞讲解

代码审计基础

漏洞产生的原因

代码审计的流程

代码审计工具介绍

漏洞简单利用

完整的开源代码审计过程

代码审计进阶

高级SQL注入挖掘及应用

PHPCMS 0day 分析

跨站脚本漏洞挖掘方法

变量覆盖概念

变量覆盖常见代码与函数

实例讲解变量覆盖漏洞挖掘

变量覆盖漏洞利用

PHPDISK 变量覆盖漏洞分析

上传漏洞的挖掘方法

文件包含的挖掘方法

文件包含的利用方式

代码执行漏洞挖掘

代码执行漏洞的利用

逻辑漏洞挖掘

逻辑漏洞利用

二次漏洞挖掘及利用

 


3.2 系统安全培训大纲


反汇编及逆向分析基础课程

C\C++语言基础

C\C++基本语法及编程基础

函数,数组及指针的使用

结构体,类相关知识及使用

调试工具的使用

OllyDbg简介及使用

WinDbg简介及使用

IDA Pro 简介及使用

反汇编揭秘

汇编基础指令讲解

整数类型,浮点数,字符,字符串,地址,指针,引用,常量等汇编表示形式

C程序入口函数,main函数识别

观察各种表达式求值过程(算数运算及赋值,关系逻辑运算,位运算,编译器优化)并实战逆向某个程序

流程控制语句识别(if else语句,switch语句)

函数工作原理(栈帧,ebpesp寻址,函数参数,函数返回值)

变量在内存中位置和访问方式(全局变量,局部变量,数组寻址)

结构体和类的分析

系统漏洞挖掘基础

系统栈的工作原理

shellcode编写及使用msf生成shellcode

漏洞挖掘的基本方法

 


3.3 渗透测试培训大纲


攻击前奏

信息收集:Google Hacking信息搜索,NmapwwwscanDirBuster等工具使用

火狐浏览器插件使用

漏洞扫描:NessusWVS等扫描工具使用

社会工程学在渗透中的利用

攻击进行时

SQL注入技巧

注入工具的使用:SQLMAPPangolin使用技巧

XSS高级利用技巧:内网探测

常规漏洞实战:上传漏洞,命令执行等

暴力破解:BurpsuiteHydra等工具实战

隐蔽WEBSHELL的几种实现

Metasploit渗透实践

Kali安全渗透实践

检测躲避

WAF绕过技术

权限提升

Windows服务器常见的提权方法

Linux服务器常见的提权方法

长期控制

木马免杀技术概述

木马免杀方法