課程大綱
一、Web安全基礎(chǔ)    
    1、Web應(yīng)用安全滲透測(cè)試概述
       —— HTTP協(xié)議分析概述
       —— 安全基本概念
       —— OWASP概述
       —— 國(guó)內(nèi)Web威脅發(fā)展與趨勢(shì)
       —— Web滲透測(cè)試主要類型和思路
       —— 分層的理念和邊界的概念
       —— 縱深防御與安全意識(shí)
    2、Web應(yīng)用信息收集技術(shù)
       —— 發(fā)現(xiàn)Web應(yīng)用架構(gòu)
       —— 識(shí)別主機(jī)/中間件/數(shù)據(jù)庫(kù)相關(guān)信息
       —— 識(shí)別基礎(chǔ)網(wǎng)絡(luò)架構(gòu)和目標(biāo)系統(tǒng)安全防御水平
       —— 探索目標(biāo)系統(tǒng)的目錄結(jié)構(gòu)
       —— 使用爬蟲技術(shù)，探索目標(biāo)網(wǎng)站
       —— 開源情報(bào)分析方法介紹
    3、注入類攻擊技術(shù)
       —— 注入原理概述
       —— 命令注入、文件注入、SQL注入、盲注等攻擊技術(shù)
       —— SQLMAP等自動(dòng)化工具介紹
       —— 使用Python編寫注入驗(yàn)證腳本
       —— 注入漏洞的防御方法
       —— 常見注入漏洞的實(shí)例演示
    4、XSS類攻擊技術(shù)
       —— XSS/CSRF攻擊原理概述，可能造成的危害
       —— XSS攻擊的分類
       —— XSS攻擊的防御思路
       —— CSRF攻擊思路
    5、反序列化漏洞介紹
       —— 反序列化攻擊原理概述，可能造成的危害
       —— 反序列化漏洞的挖掘
       —— Weblogic反序列化漏洞演示
       —— Fastjson反序列化漏洞挖掘與利用
    6、其他OWASP top 10漏洞
       —— 不安全的對(duì)象直接引用
       —— 文件上傳漏洞
       —— XXE漏洞
       —— 不安全的加密和傳輸
       —— 失效的會(huì)話管理
       —— 其他常見漏洞
    7、業(yè)務(wù)邏輯漏洞測(cè)試
       —— 業(yè)務(wù)邏輯定義和危害
       —— 業(yè)務(wù)邏輯漏洞挖掘方法
       —— 典型業(yè)務(wù)邏輯漏洞介紹
二、滲透測(cè)試
    1、典型Web攻擊過(guò)程與防護(hù)
       —— 信息搜集和分析
       —— 工具掃描及結(jié)果分析
       —— 漏洞驗(yàn)證及利用
       —— 獲取系統(tǒng)登錄權(quán)限
       —— 提升權(quán)限
       —— 安裝后門
       —— 嗅探和掃描其它系統(tǒng)
       —— 清理攻擊痕跡
       —— 滲透測(cè)試標(biāo)準(zhǔn)介紹
    2、滲透測(cè)試平臺(tái)/工具介紹
       —— Kali（BT）平臺(tái)介紹
       —— Metasploit 平臺(tái)簡(jiǎn)介
       —— CS介紹
       —— Nmap詳細(xì)使用介紹
       —— Nessus/Nexpose使用介紹
       —— Appscan/Appspider使用介紹
    3、網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)要求與安全測(cè)試
       —— 等保三級(jí)通用要求實(shí)踐指南（2.0）
       —— 等保三級(jí)擴(kuò)展安全要求（2.0）
       —— 應(yīng)用安全功能與等保要求映射
       —— 安全管理要求與等保要求映射
課程周期：
30課時(shí)（45分/課時(shí)）