    Web滲透與安全滲透測試培訓

（一）、安全大事件回顧與思考安全真實案例回顧與討論
1，安全都涉及什么
2，如何來預防安全事故
3，安全測試的目標和范圍
4，安全原理：威脅建模標識資源（敏感數據）
5，創建總體體系結構
6，分解應用程序標識特權代碼
7，識別威脅、記錄威脅、評價威脅
（二）、Web安全需求分析
1，列出資源：業務數據，應用程序，服務，配置數據，頁面
2，建立資源分布圖，確定資源位置
3，確定資源信任邊界
4，確定資源授權范圍
5，建立資源防范目錄
（三）、Web應用漏洞及檢測方法常見的操作系統漏洞和檢查方法
1，常見的數據庫漏洞和檢查方法
2，Web服務漏洞和檢查方法
3，網絡通信漏洞和檢查方法
4，配置文件漏洞和檢查方法
5，其他資源漏洞和檢查方法
6，設計安全測試用例確定安全測試點
7，預見可能的入侵事件
8，分析入侵事件的觸發條件
（四）、Web入侵常用工具的介紹與使用
1，常見攻擊工具Mpack
2，Neosploit
3，ZeuS
4，NukesploitP4ck
5，Phoenix
6，常見安全檢查工具IBMRationalAppScan
7，WebInspect
8，NStalker-WAS
9，AcuixWebVulnerabilityScanner（WVS)
10，基礎常用工具：明小子、御劍、穿山甲、中國菜刀等
（五）、Web信息收集與安全檢測
1，信息收集
2，探查、踩點
3，欺騙
4，會話劫持
5，中間人攻擊
6，安全檢測、病毒、特洛伊木馬和蠕蟲
7，破解密碼
8，拒絕服務
9，任意執行代碼
10，未授權訪問
（六）、Web應用常見威脅及其對策
1，標準化漏洞
2，身份驗證相關的威脅及其對策
3，針對授權的威脅及其對策
4，針對配置管理的威脅及對策
5，安全的加密
6，對抗針對操作
7，異常處理
8，緩沖區溢出攻擊
（七）、Web安全審計和使用日志跟蹤安全相關事件
1，將日志寫入文件/數據庫
2，使用系統安全日志
3，日志異常與跟蹤
4，調查取證
（八）、Web入侵防御實戰與環境搭建
1，本地Web環境搭建：通過IIS搭建asp.、php、jsp、ftp環境
2，信息收集探測與掃描：利用googlehack、Nmap、Scscannrr、WVS,IBMappScan進行探測與掃描；
3，入侵方式與防御：SQL注入、二次高級注入、繞過,XSS、文件上傳、php碰撞、腳本攻擊、編輯器漏洞、
中轉注入、遠程代碼執行、包含漏洞、遍歷目錄、暴力破解、終端繞過與突破、旁注與C段、FTP弱口令破解、msf滲透、數據庫脫褲與破解、提權；
4，漏洞挖掘與0day
5，社會工程學
6，怎么樣才能使您的服務器與WEB站點更安全；
7，內網滲透測試，網絡異常數據分析，內網滲透測試原理與實踐；