    Web渗透与安全渗透测试培训

（一）、安全大事件回顾与思考安全真实案例回顾与讨论
1，安全都涉及什么
2，如何来预防安全事故
3，安全测试的目标和范围
4，安全原理：威胁建模标识资源（敏感数据）
5，创建总体体系结构
6，分解应用程序标识特权代码
7，识别威胁、记录威胁、评价威胁
（二）、Web安全需求分析
1，列出资源：业务数据，应用程序，服务，配置数据，页面
2，建立资源分布图，确定资源位置
3，确定资源信任边界
4，确定资源授权范围
5，建立资源防范目录
（三）、Web应用漏洞及检测方法常见的操作系统漏洞和检查方法
1，常见的数据库漏洞和检查方法
2，Web服务漏洞和检查方法
3，网络通信漏洞和检查方法
4，配置文件漏洞和检查方法
5，其他资源漏洞和检查方法
6，设计安全测试用例确定安全测试点
7，预见可能的入侵事件
8，分析入侵事件的触发条件
（四）、Web入侵常用工具的介绍与使用
1，常见攻击工具Mpack
2，Neosploit
3，ZeuS
4，NukesploitP4ck
5，Phoenix
6，常见安全检查工具IBMRationalAppScan
7，WebInspect
8，NStalker-WAS
9，AcuixWebVulnerabilityScanner（WVS)
10，基础常用工具：明小子、御剑、穿山甲、中国菜刀等
（五）、Web信息收集与安全检测
1，信息收集
2，探查、踩点
3，欺骗
4，会话劫持
5，中间人攻击
6，安全检测、病毒、特洛伊木马和蠕虫
7，破解密码
8，拒绝服务
9，任意执行代码
10，未授权访问
（六）、Web应用常见威胁及其对策
1，标准化漏洞
2，身份验证相关的威胁及其对策
3，针对授权的威胁及其对策
4，针对配置管理的威胁及对策
5，安全的加密
6，对抗针对操作
7，异常处理
8，缓冲区溢出攻击
（七）、Web安全审计和使用日志跟踪安全相关事件
1，将日志写入文件/数据库
2，使用系统安全日志
3，日志异常与跟踪
4，调查取证
（八）、Web入侵防御实战与环境搭建
1，本地Web环境搭建：通过IIS搭建asp.、php、jsp、ftp环境
2，信息收集探测与扫描：利用googlehack、Nmap、Scscannrr、WVS,IBMappScan进行探测与扫描；
3，入侵方式与防御：SQL注入、二次高级注入、绕过,XSS、文件上传、php碰撞、脚本攻击、编辑器漏洞、
中转注入、远程代码执行、包含漏洞、遍历目录、暴力破解、终端绕过与突破、旁注与C段、FTP弱口令破解、msf渗透、数据库脱裤与破解、提权；
4，漏洞挖掘与0day
5，社会工程学
6，怎么样才能使您的服务器与WEB站点更安全；
7，内网渗透测试，网络异常数据分析，内网渗透测试原理与实践；