刘道军《企业安全渗透测试》

课程简介：

本课程讲解了渗透测试情况收集、使用漏洞扫描工具挖掘漏洞；各种漏洞的原理及实战，包括XSS、CSRF、弱口令、文件上传、逻辑漏洞、SQL注入等；掌握各种攻击方法，我们才能知晓漏洞的存在，从而更好地进行防御！

课程大纲：

一、信息安全测试的理念与策略（1.5小时）

² 信息安全的关键要素

² 密码及应用技术基础

² 安全测试理念

² 安全测试策略

² 安全测试方法

二、环境搭建（1小时）

1、搭建phpstudy环境

2、搭建Kali Linux和Metasploitable2

三、HTTP技术基础（2小时）

² Web应用程序安全与风险

² HTTP请求与响应

² HTTP方法、消息头讲解

² 不安全的Http方法漏洞实战测试

² Cookie、响应状态码、身份验证讲解

四、Web渗透测试基本思路与测试环境搭建（1.5小时）

² 渗透测试环境搭建

² WEB应用渗透测试的基本思路

² 信息收集要点与方法

² 漏洞扫描的工具使用方法

五、漏洞扫描工具(1.5小时)

² 漏洞扫描工具：AWVS

² 网络安全审计工具：Nmap

² sqlmap工具的使用

² BurpSuite基本应用

六、Web渗透测试与防御（3小时）

² 文件泄露

² SQL注入

² XSS

² CSRF

² 暴力破解

² 文件上传

² 逻辑漏洞

七、配置管理与风险分析（1.5小时）

² 系统安全配置基础

² 安全配置核查方法

² 安全风险分析与评估方法