PDF《2016 年信息安全攻防技能提升班（第一期）》

2016 年信息安全攻防技能提升班(第一期) 第一天: (上午) 渗透测试基础 渗透测试概念、 流程、 思路、 行业内的术语解释, 着重讲解信息收集的方法:分析网站架构、蜘蛛 爬虫、Google Hacking 以及 Web 扫描等, 介绍 Awvs、Jsky、Appscan 等常见 Web 扫描的使 用 (下午) 弱口令和暴力破解 弱口令和暴力破解的概念、分类等, 讲解暴力破解的方法、场景、使用的工具、针 对常见服务如 SSH、FTP 的破解案例以及防范 第二天: (上午) SQL 注入基础 讲解 SQL 注入的概念、原理、分类和检查方法, 分析如何寻找和确认注入点 (下午) SQL 注入攻击应用 常见应用场景下的 SQL 注入攻击,如:获取数 据库信息、获取 Webshell、提权, ASP+Access 、 ASPX+Mssql 、 PHP+MySQL 、 Jsp+Oracle 手工注入常用语句、语法结构、练 习和实践 , 介绍啊 D、Pangolin、Sqlmap 等注入工具的使 用, 结合实例讲解 SQL 盲注、 SQL 注入绕过以及防御 SQL 注入 第三天: (上午) XSS 挖掘和利用 XSS 基本原理、分类、挖掘、攻击利用, Cookie 窃取、网络钓鱼、获取主机权限、 Getshell 等进行实践演示, 讲解通过过滤、编码等方式防御 XSS (下午) 漏洞综合利用 通过实操环境练习,掌握 Redis 未授权访问、 Java 反序列化、Git 泄露等 2015/2016 最新漏 洞的检测方式,并深入了解其产生的原理以及 防护方法