您現在的位置 > 首頁 > 安全服務 > 安全培訓服務

 

 

一、安全培訓服務介


1.1 WEB安全培訓


随着Web2.0、社交網絡、微博等等一系列新型的互聯網産品的誕生,基于Web環境的互聯網應用越來越廣泛,企業信息化的過程中各種應用都架設在Web 平台上,Web業務的迅速發展也引起黑客們的強烈關注,接踵而至的就是Web安全威脅的凸顯,黑客利用網站操作系統的漏洞和Web服務程序的SQL注入漏洞等得到Web服務器的控制權限,輕則篡改網頁内容,重則竊取重要内部數據,更為嚴重的則是在網頁中植入惡意代碼,使得網站訪問者受到侵害。WEB安全培訓課程基于OWASP TOP10 與國内主流漏洞所演化,包括但不限于:SQL注入、跨站腳本攻擊、命令執行等。


1.2 系統安全培訓


緩沖區溢出是一種非常普遍、非常危險的漏洞,在各種操作系統、應用軟件中廣泛存在。利用緩沖區溢出攻擊,可以導緻程序運行失敗、系統宕機、重新啟動等後果。更為嚴重的是,可以利用它執行非授權指令,甚至可以取得系統特權,進而進行各種非法操作。系統安全培訓涉及基礎的緩沖區溢出原理,shellcode編寫,漏洞高級利用等。


1.3信息安全培訓收益


信息安全培訓是成本最低、最有效利用現有技術和資源的、效果最快最顯著的信息安全管理措施。作為信息安全咨詢服務提供者,我們創建的信息安全培訓可針對客戶不同層次的安全需求而定制,全面融合了技術和管理的要素。借助各項培訓課程,我們的專業培訓人員将向客戶傳授從一般性的安全意識、到具體的安全攻防操作、再到高級的信息安全管理在内的全方位的安全知識和技能,從而提升客戶在信息安全實踐當中“人”這個決定因素的關鍵作用,為有效的信息安全提供保障。


二、安全培訓目标與流程


2.1 培訓目标


Web安全培訓:

1.了解基本web漏洞的形成原因和利用方法;

2.掌握基本web漏洞的挖掘和利用;

3.了解常規web漏洞的代碼審計方法;

4.了解基本web漏洞如SQL注入、XSS、越權、文件包含等的修複和防禦;

5.熟悉相關web安全工具、web安全測試環境的使用和部署等。


系統安全培訓:

1.了解常見系統漏洞的形成原因和利用方法;

2.了解基本系統安全配置和防護;

3.了解常見系統漏洞的挖掘;

4.了解系統安全相關安全工具的部署和使用。


2.2 培訓流程

 


3.1 Web安全培訓大綱


WEB安全基礎

基礎信息安全意識

OWASP TOP 10漏洞講解

代碼審計基礎

漏洞産生的原因

代碼審計的流程

代碼審計工具介紹

漏洞簡單利用

完整的開源代碼審計過程

代碼審計進階

高級SQL注入挖掘及應用

PHPCMS 0day 分析

跨站腳本漏洞挖掘方法

變量覆蓋概念

變量覆蓋常見代碼與函數

實例講解變量覆蓋漏洞挖掘

變量覆蓋漏洞利用

PHPDISK 變量覆蓋漏洞分析

上傳漏洞的挖掘方法

文件包含的挖掘方法

文件包含的利用方式

代碼執行漏洞挖掘

代碼執行漏洞的利用

邏輯漏洞挖掘

邏輯漏洞利用

二次漏洞挖掘及利用

 


3.2 系統安全培訓大綱


反彙編及逆向分析基礎課程

C\C++語言基礎

C\C++基本語法及編程基礎

函數,數組及指針的使用

結構體,類相關知識及使用

調試工具的使用

OllyDbg簡介及使用

WinDbg簡介及使用

IDA Pro 簡介及使用

反彙編揭秘

彙編基礎指令講解

整數類型,浮點數,字符,字符串,地址,指針,引用,常量等彙編表示形式

C程序入口函數,main函數識别

觀察各種表達式求值過程(算數運算及賦值,關系邏輯運算,位運算,編譯器優化)并實戰逆向某個程序

流程控制語句識别(if else語句,switch語句)

函數工作原理(棧幀,ebpesp尋址,函數參數,函數返回值)

變量在内存中位置和訪問方式(全局變量,局部變量,數組尋址)

結構體和類的分析

系統漏洞挖掘基礎

系統棧的工作原理

shellcode編寫及使用msf生成shellcode

漏洞挖掘的基本方法

 


3.3 滲透測試培訓大綱


攻擊前奏

信息收集:Google Hacking信息搜索,NmapwwwscanDirBuster等工具使用

火狐浏覽器插件使用

漏洞掃描:NessusWVS等掃描工具使用

社會工程學在滲透中的利用

攻擊進行時

SQL注入技巧

注入工具的使用:SQLMAPPangolin使用技巧

XSS高級利用技巧:内網探測

常規漏洞實戰:上傳漏洞,命令執行等

暴力破解:BurpsuiteHydra等工具實戰

隐蔽WEBSHELL的幾種實現

Metasploit滲透實踐

Kali安全滲透實踐

檢測躲避

WAF繞過技術

權限提升

Windows服務器常見的提權方法

Linux服務器常見的提權方法

長期控制

木馬免殺技術概述

木馬免殺方法