网络渗透测试及攻防实战
一、课程描述:
本课程主要讲述了常见的基于Web的漏洞渗透以及代码审计防御办法,比如SQL注入、XSS跨站脚本注入、目录遍历漏洞、代码与命令执行漏洞、文件上传下载漏洞、未授权和越权访问漏洞、逻辑漏洞及弱口令等,最后讲述如何使用WebShell打开后门及应急办法。
二、课程大纲:
第1讲、技术基础
Web应用程序安全与风险
HTTP请求与响应
HTTP方法、消息头讲解
不安全的Http方法漏洞实战测试
Cookie、响应状态码、身份验证讲解
Http编码方案
渗透测试环境搭建
第2讲、安全渗透测试工具使用
黑客攻击流程
信息收集与扫描技术
Kali平台使用
网络安全审计工具:Nmap
Burp基本应用
SQLMAP
第3讲、跨站脚本XSS渗透测试
XSS讲解
XSS演示
第4讲、SQL注入漏洞原理及检测利用
SQL注入利用思路
MYSQL注入的利用
第5讲、目录遍历漏洞原理及检测利用
目录遍历漏洞
目录遍历实战
第6讲、代码/命令执行漏洞原理及检测利用
代码/命令执行漏洞原理
代码/命令执行漏洞挖掘
代码/命令执行漏洞防护
第7讲、文件上传漏洞原理及检测利用
文件上传漏洞原理
文件上传漏洞实战与防护
第8讲、逻辑漏洞原理及检测利用
逻辑漏洞原理
逻辑漏洞实操
第9讲、弱口令漏洞原理及检测利用
弱口令介绍
弱口令实践
第10讲、权限提升
Windows提权技术
Liunx内网提权技术
第11讲、权限维持技术
Windows权限维持概述及隐藏技巧;
关闭杀软;
注册表自启动;
计划任务;
服务自启动;
Liunx权限维持概述及隐藏技巧;
添加用户;
SUIDshell;
SSH公私钥;
软连接;
crontab计划任务;
第12讲、痕迹清理
Windows操作系统的痕迹清理;
Windows痕迹清理的基本思路和思考逻辑;
Windows清理登录痕迹、操作痕迹及时间痕迹;
Linux操作系统的痕迹清理;
Linux痕迹清理的基本思路和思考逻辑;
Linux清理登录痕迹、操作痕迹及时间痕迹
