伴随着网络安全行业的飞速发展,渗透测试岗位已经成了大多数年轻人心中向往的职位。
但由于,渗透测试这门技术对实操经验要求相当之高,是必须通过专业的训练以及保持技术不断的更新才能达到。
因此,很多年轻人为了避免少走弯路,参加社会类的网络安全培训已经成为渗透测试从业者提升技能的主流选择之一了。
那么问题来了,渗透测试培训机构哪家好?该如何选择?
现如今,市面上的培训广告多种多样,导致很多人为此迷茫,不知道该如何选择。其实,当我们在选择培训机构时,选择有安全技术背景的公司是最为稳妥的。为什么这么说呢?
因为,通过长期发展的沉淀,有安全技术背景的公司有着大量熟悉最前沿技术的优秀工程师,更能够提供学习所需的实训场景。同时每一个工程师都具备充足实践经验,在教授课程的同时更能够符合市场需求的课程内容。
那如何找到这样类型的公司呢?在这里,盾叔向大家推荐:武汉网盾网络安全中心,隶属于网盾科技核心板块。
武汉网盾科技成立于2006年10月,公司专注于 IDC/SP、分布式动态云计算高防IDC安全解决方案以及大数据应用服务领域。网盾网络安全培训中心隶属于武汉网盾科技,是武汉临空港国家网安基地“网络安全万人培训资助计划”入驻企业。
网盾网络安全培训中心不仅是培训机构,而且是一家十多年安服和数据中心运营公司孵化出来的高级指导学院。
下面就给大家介绍一下,网盾培训中心的渗透测试培训内容有哪些呢?
第一部分:相关基础:
1.1 网络安全导论:网络安全大环境趋势、网络安全就业情况及课程内容概述、网络安全如何学习,从哪里入手,如何定位发展、网络信息安全法律法规。
1.2 系统基础:操作系统安全、网络基础(网络嗅探原理、WireShark工作原理、WireShark窗口及常用命令、ARP、RARP协议、UDP-DNS协议、TCP/IP协议)。
1.3基础运维:服务器硬件和系统配置、网络设备的组网配置调试、虚拟化技术和WEB,邮件服务的配置、云服务器的WEB环境配置、硬件防火墙熟悉和配置、运维实践。
1.4 WEB基础:HTTP协议、HTML 文档格式、实体、HTML 标签、框架、表格、列表、表单、图像、背景、CSS、AVASCRIPT。
1.5 PHP入门:PHP 环境搭建、编写代码工具选择、PHP 基础语法 ( 函数、变量、常量、注释、数据类型、流程控制、算术运算)、PHP 流程控 制 (IF 语句、多种嵌套、SWITCH、语句 WHILE 循环、FOR 循环、GOTO 循环)、PHP 函数、正则表达式、PHP 文件上传、 PHP 错误处理、PHP 操作 MYSQL 数据库、PHP 会话管理和控制。
1.6 MYSQL: 数据库介绍、 分类、 安装、 配置、 登录、 连接等、数据库基本操作 创建、查看、选中、查库表、删除数据库等相关命令行操作、数据字段操作、创建、修改、增加、调整字段顺序、排序、删除等字段命令行操作、数据库表操作创建、查看、选中删除数据库表等相关个命令行操作、数据类型 整型、浮点、字符、时间、符合型等、字符集合索引、增删改查之更新记录、数据库权限操作。
第二部分:信息收集:
信息收集-资产监控拓展、信息收集-CDN绕过技术、信息收集-CMS识别 、信息收集-架构、搭建分析、信息收集-搭建习惯目录型站点、信息收集-搭建习惯端口类站点、信息收集-搭建习惯子域名站点、信息收集-搭建习惯旁注、C段站点、信息收集-搭建习惯搭建软件特征站点、信息收集-WAF介绍 、信息收集-如何识别WAF?
第三部分:WEB漏洞
3.0 渗透测试基础概念:渗透测试流程WEB、渗透测试概述、渗透测试基本名词、正反向代理。
3.1 虚拟化技术:VMWARE虚拟化、Docker虚拟化、LINUX 安全加固 。
3.2 SQL注入的渗透与防御:WEB漏洞-SQL注入-数据库基础 、WEB漏洞-SQL注入之简要SQL注入、WEB漏洞-SQL注入之MYSQL注入、WEB漏洞-SQL注入之类型及提交注入 、WEB漏洞-SQL注入之Oracle,MongoDB等注入、WEB漏洞-SQL注入之查询方式及报错盲注、WEB漏洞-SQL注入之二次,加解密,DNS等注入、WEB漏洞-SQL注入之堆叠及WAF绕过注入、WEB漏洞-SQL注入之SQLMAP绕过WAF。
3.3 XSS相关渗透与防御:WEB漏洞-XSS跨站之原理分类及攻击手法、WEB漏洞-XSS跨站之订单及Shell箱子反杀、WEB漏洞-XSS跨站之代码及httponly绕过、WEB漏洞-XSS跨站之WAF绕过及安全修复。
3.4上传验证渗透与防御:WEB漏洞-文件上传漏洞原理、WEB漏洞-文件上传一句话木马、WEB漏洞-文件上传后缀客户端验证、WEB漏洞-文件上传后缀黑名单验证、WEB漏洞-文件上传之内容逻辑数组绕过、WEB漏洞-文件上传之解析漏洞编辑器安全 、WEB漏洞-文件上传之WAF绕过及安全修复。
3.5 CSRF渗透与防御:WEB漏洞-CSRF漏洞概述及原理、WEB漏洞-CSRF攻防实战及防范方法。
3.6 SSRF渗透与防御:WEB漏洞-SSRF漏洞概述及原理、WEB漏洞-SSRF攻防实战及防范方法。
3.7 XXE渗透与防御:WEB漏洞-XXE基础知识、WEB漏洞-XXE&XML之利用检测绕过全解。
3.8 RCE代码及命令执行渗透与防御:WEB漏洞-RCE代码及命令执行漏洞全解。
3.9 反序列化渗透与防御:WEB漏洞-反序列化之PHP&JAVA全解。
3.10 逻辑相关渗透与防御:WEB漏洞-逻辑漏洞概述、WEB漏洞-WEB漏洞-逻辑越权之水平垂直越权全解、WEB漏洞-逻辑越权之登录脆弱及支付篡改、WEB漏洞-逻辑越权之找回机制及接口安全、WEB漏洞-逻辑越权之验证码与Token及接口。
第四部分:漏洞发现
漏洞发现-操作系统之漏洞探针类型利用、漏洞发现-漏洞扫描工具-Goby,Nmap,Nessus 、漏洞发现-漏洞类型区分讲解-权限提升,远程执行等、漏洞发现-漏洞利用框架-Metasploit,Searchsploit、漏洞发现-WEB 应用之漏洞探针类型利用、漏洞发现-API 接口服务之漏洞探针类型利用。
第五部分:WAF绕过
WAF 绕过-信息收集之反爬虫延时代理池、WAF 绕过-Safedog-默认拦截机制分析绕过、WAF 绕过-Aliyun_os-默认拦截机制分析绕过 、WAF 绕过-BT(防火墙插件)-默认拦截机制分析绕过 、WAF 绕过-Aliyun_os-默认拦截机制分析绕过、WAF 绕过-代理池指纹被动探针、WAF 绕过-绕过代理池 Proxy_pool 项目搭建。
第六部分: 权限提升
权限提升-基于 WEB 环境下的权限提升、权限提升-基于本地环境下的权限提升-系统溢出漏洞、权限提升-数据库应用提权在权限提升中的意义、权限提升-WEB 或本地环境如何探针数据库应用、权限提升-数据库提权权限用户密码收集等方法、权限提升-目前数据库提权对应的技术及方法等 。
第七部分:内网安全
内网安全-基本信息收集、内网安全-网络信息收集、内网安全-用户信息收集操、内网安全-凭据信息收集、内网安全-探针主机域控架构服务、内网安全-横向移动渗透明文传递、内网安全-横向渗透明文 HASH 传递、内网安全-域横向移动服务利用、内网安全-域横向HASH利用、内网安全-域横向 CobaltStrike 。
第八部分:应急响应
应急响应-常见的 WEB 安全攻击技术、应急响应-相关日志启用及存储、应急响应-日志中记录数据分类及分析、应急响应-操作系统(windows,linux)应急响应、应急响应-攻击响应-暴力破解(RDP,SSH)-Win,Linux 、应急响应-控制响应-后门木马(Webshell,PC)-Win,Linux 、应急响应-危害响应-病毒感染(勒索 WannaCry)-Windows 、应急响应-自动化响应检测-Gscan 多重功能脚本测试-Linux 、应急响应-应用分析-数据库爆破注入等操作、应急响应-自动化应急响应取证工具箱。
第九部分:安全开发
安全开发-Python入门、安全开发-Python批量Fofa、安全开发-PythonPOC验证。
第十部分:就业指导
简历包装、面试技巧