    Web滲透與安全滲透測(cè)試培訓(xùn)

（一）、安全大事件回顧與思考安全真實(shí)案例回顧與討論
1，安全都涉及什么
2，如何來預(yù)防安全事故
3，安全測(cè)試的目標(biāo)和范圍
4，安全原理：威脅建模標(biāo)識(shí)資源（敏感數(shù)據(jù)）
5，創(chuàng)建總體體系結(jié)構(gòu)
6，分解應(yīng)用程序標(biāo)識(shí)特權(quán)代碼
7，識(shí)別威脅、記錄威脅、評(píng)價(jià)威脅
（二）、Web安全需求分析
1，列出資源：業(yè)務(wù)數(shù)據(jù)，應(yīng)用程序，服務(wù)，配置數(shù)據(jù)，頁面
2，建立資源分布圖，確定資源位置
3，確定資源信任邊界
4，確定資源授權(quán)范圍
5，建立資源防范目錄
（三）、Web應(yīng)用漏洞及檢測(cè)方法常見的操作系統(tǒng)漏洞和檢查方法
1，常見的數(shù)據(jù)庫漏洞和檢查方法
2，Web服務(wù)漏洞和檢查方法
3，網(wǎng)絡(luò)通信漏洞和檢查方法
4，配置文件漏洞和檢查方法
5，其他資源漏洞和檢查方法
6，設(shè)計(jì)安全測(cè)試用例確定安全測(cè)試點(diǎn)
7，預(yù)見可能的入侵事件
8，分析入侵事件的觸發(fā)條件
（四）、Web入侵常用工具的介紹與使用
1，常見攻擊工具M(jìn)pack
2，Neosploit
3，ZeuS
4，NukesploitP4ck
5，Phoenix
6，常見安全檢查工具IBMRationalAppScan
7，WebInspect
8，NStalker-WAS
9，AcuixWebVulnerabilityScanner（WVS)
10，基礎(chǔ)常用工具：明小子、御劍、穿山甲、中國菜刀等
（五）、Web信息收集與安全檢測(cè)
1，信息收集
2，探查、踩點(diǎn)
3，欺騙
4，會(huì)話劫持
5，中間人攻擊
6，安全檢測(cè)、病毒、特洛伊木馬和蠕蟲
7，破解密碼
8，拒絕服務(wù)
9，任意執(zhí)行代碼
10，未授權(quán)訪問
（六）、Web應(yīng)用常見威脅及其對(duì)策
1，標(biāo)準(zhǔn)化漏洞
2，身份驗(yàn)證相關(guān)的威脅及其對(duì)策
3，針對(duì)授權(quán)的威脅及其對(duì)策
4，針對(duì)配置管理的威脅及對(duì)策
5，安全的加密
6，對(duì)抗針對(duì)操作
7，異常處理
8，緩沖區(qū)溢出攻擊
（七）、Web安全審計(jì)和使用日志跟蹤安全相關(guān)事件
1，將日志寫入文件/數(shù)據(jù)庫
2，使用系統(tǒng)安全日志
3，日志異常與跟蹤
4，調(diào)查取證
（八）、Web入侵防御實(shí)戰(zhàn)與環(huán)境搭建
1，本地Web環(huán)境搭建：通過IIS搭建asp.、php、jsp、ftp環(huán)境
2，信息收集探測(cè)與掃描：利用googlehack、Nmap、Scscannrr、WVS,IBMappScan進(jìn)行探測(cè)與掃描；
3，入侵方式與防御：SQL注入、二次高級(jí)注入、繞過,XSS、文件上傳、php碰撞、腳本攻擊、編輯器漏洞、
中轉(zhuǎn)注入、遠(yuǎn)程代碼執(zhí)行、包含漏洞、遍歷目錄、暴力破解、終端繞過與突破、旁注與C段、FTP弱口令破解、msf滲透、數(shù)據(jù)庫脫褲與破解、提權(quán)；
4，漏洞挖掘與0day
5，社會(huì)工程學(xué)
6，怎么樣才能使您的服務(wù)器與WEB站點(diǎn)更安全；
7，內(nèi)網(wǎng)滲透測(cè)試，網(wǎng)絡(luò)異常數(shù)據(jù)分析，內(nèi)網(wǎng)滲透測(cè)試原理與實(shí)踐；