漏洞挖掘：Burp Suite/Nmap/AWVS工具使用培训课程-曙海培训中心

漏洞挖掘：Burp Suite/Nmap/AWVS工具使用培训课程

•  

• 培训对象： 安全测试人员、渗透测试工程师、安全运维人员、红队蓝队成员。

•  

• 培训目标：

  • 掌握Burp Suite的代理、扫描、入侵等核心模块。

  • 熟练使用Nmap进行网络探测和服务识别。

  • 能够使用AWVS进行自动化Web漏洞扫描。

  • 具备多工具协同使用挖掘漏洞的能力。

•  

• 培训内容介绍：

•  

  一、 Burp Suite环境搭建： 安装Burp Suite，配置浏览器代理，安装CA证书解密HTTPS流量。

  二、 Burp Proxy流量拦截： 使用Proxy模块拦截和修改HTTP/HTTPS请求，分析和重放数据包。

  三、 Burp Target与站点地图： 使用Target建立站点地图，分析应用攻击面，设置作用域排除无关请求。

  四、 Burp Repeater重放攻击： 使用Repeater手动修改和重放请求，测试参数注入和漏洞验证。

  五、 Burp Intruder暴力破解： 使用Intruder进行参数枚举、密码爆破、Fuzzing测试，设置Payload和资源池。

  六、 Burp Scanner自动化扫描： 配置主动扫描和被动扫描，识别常见Web漏洞，导出扫描报告。

  七、 Burp Extender插件扩展： 安装和使用常见插件（如HaE、Log4j2Scan），扩展Burp功能。

  八、 Nmap基础与扫描类型： 掌握TCP Connect扫描、SYN半开扫描、UDP扫描等不同类型的使用场景。

  九、 Nmap脚本引擎（NSE）： 使用NSE脚本进行漏洞检测、服务识别、弱口令爆破，编写自定义脚本。

  十、 AWVS安装与配置： 部署AWVS，配置目标扫描策略（爬取深度、速度、测试类型），管理扫描任务。

  十一、 AWVS结果分析与报告： 分析扫描发现的漏洞，验证误报，生成专业测试报告。

  十二、 实战项目：综合漏洞挖掘演练： 使用Burp、Nmap、AWVS协同对目标应用进行全方位漏洞挖掘。