Web系统常见威胁

渗透测试用平台/工具介绍

1、Kali（BT）平台介绍

2、appscan漏洞扫描』工具简介：

3、appscan source代码扫描工具简介

4、Webinspect漏△洞扫描工具简介

5、WVS扫描工具

6、Metasploit 平台简介

7、Burpsuite测试工○具简介

OWASP TOP 10介绍

1、跨站脚本XSS 2、SQL注入攻击 3、不安全的直接对象引用

典型Web攻击过程

1、信息搜集和●分析 2、工具︾扫描及结果分析 3、漏洞验证及利●用 4、获取系统登录权限

5、提升权限 6、安装后门 7、嗅探和扫描其它系统 8、清理攻击々痕迹

实验：Web入侵攻防演练

1、IIS+MSSQL+WIN2003攻防演练 2、Linux+Apache+Mysql+PHP攻防演练

漏洞利用演示及分析（中间件，加密）

1、Struts 2漏洞演示（中间件）

a)Struts 2漏洞利◥用原理分析 b)Struts 2漏洞利用攻击过◤程演示

c)Struts 2漏洞危害分析↘ d)Struts 2漏洞防范

2、Oracle Padding attack （加密）

a)Oracle Padding attack漏洞利用原理分析

b)Oracle Padding attack漏洞利用攻击过程演≡示

c)Oracle Padding attack漏洞危害分析

d)Oracle Padding attack漏洞防范

3、Bash （Shellshock）漏洞 (主机)

a)Shellshock漏洞利用原理分析 b)Shellshock漏◥洞利用攻击过程演示

c)Shellshock漏洞危害分析 d)Shellshock漏洞防范

4、心脏出血漏洞（敏感数据）

a)心脏出血漏洞利用原理分析 b)心脏出血漏洞利用攻击过程演示

c)心脏出血漏洞危害分析 d)心脏出血漏洞防范

5、FCK编辑器◢漏洞（第三方插件↑）

a)FCK编辑器漏洞介绍 b)FCK编辑器漏洞漏洞汇总

c)FCK漏洞利用过程演示 d)FCK漏洞ξ防范方法

演示实验（攻击过程）

1、内网DNS缓存投毒劫持会话 2、其他漏洞（根据学员基础调整）

Windows/Linux主机安全漏洞发现和★利用

1、Nessus漏洞扫描器原理介绍 2、漏洞扫描工具的使用 3、漏洞扫描工具报告分析

4、基于Metasploit平台⊙漏洞验证 5、内存Shell使用和痕迹清除

6、Rootkit工具介绍 7、多Session管理 8、后门创建和利用

渗透测试一般流程

安全从ㄨ业人员道德法律要求

安全加固攻击检测

服务器安全管理

1、常见Web服务器的安全〒管理 2、常见应用服务「器的安全管理

3、常见操作系统的安全管理 4、常见数据库的安全管理 5、常见网络设备的安全管理

安全加固实验

1、Checklist介绍 2、安全配置扫描工具 3、安全加固实际演练 4、Nessus漏洞扫〗描对比

攻击检测和阻断

1、日志收集和格式化 2、日志关联分析 3、创建⌒　分析规则 4、建立企业攻击特征库

5、建立企业攻击发现扫描引擎 6、APT攻击检测 7、攻击性行为检测

8、系统告警级别和流程 9、攻击自动阻断和隔离

应急响应

1、BCP/DRP介绍 2、应急响应流程ω创建 3、RPO/RTO介绍

4、应急响应演练 5、计算机系统取证介绍 6、常用取证工具

综合实验

1、CTF比赛实验 2、模拟电信系统攻♂击实验 3、计算∏机系统取证工作实验