閣下何不乘風起,扶搖直上九萬里
現在,送給即將更優秀的你們。
從發布https://zhuanlan.zhihu.com/p/21913090到現在
超過兩百人來諮詢,有幾位小夥伴直接打款了。課程目錄都不看就打款是什麼鬼
十分感謝信任
說正事吧,你們是不是很想看課程目錄?
以下是目錄:
滲透測試基本流程
滲透測試工程師職業前景分析
一次完整的滲透測試(一次完整的滲透測試來講解)
滲透測試環境搭建(ASP,PHP,JSP測試環境)window2003, window2008 window2012伺服器安裝和網站搭建(vpn搭建),kali2.0安裝和配置
linux kali及Windows上常見的工具使用方法,包括但不限於awvs appscan hp-webinspect netsparker nessus nexspose openvas sqlmap burpsuite hydra
各種相關安全術語的解釋,比如:cookie,session,webshell,xss,csrf,未授權訪問,越權,盲注,序列化,注入,上傳,繞過,提權,內網滲透,菜刀
web請求講解(http協議、抓包、分析,學習Web安全必備的底層知識(html,php,javascript,python))
sql注入原理、基礎(access、mysql、mssql、oracle、db2等資料庫注入實戰演示)
1.實例sql注入原理分析
2.實例手工注入asp+access全過程
3.實例手工注入asp+mssql全過程
4.實例工具注入(啊D,明小子,穿山甲,sqlmap)
5.實例php+mysql5注入(密碼猜解)
6.實例php+mysql5注入(文件讀取)
7.實例php+mysql5注入(文件導出)
8.網站路徑查找(爆路徑,遺留文件等)
9.實例php+mysql5.0以下注入入侵思路
10.實例jsp+orcle注入(手工+工具)
12.實例其他資料庫注入(postsql,db2等)
13.實例cookie注入post注入
14.代碼審計注入漏洞產生原理
15.access偏移注入
16.access跨庫注入
17.xml實例注入原理和攻擊演示
18.寬位元組(搜索)注入
19.xpath注入
20.盲注產生和利用
21.數字,字元,搜索注入
22.關於掃描器注入利用
22.繞過防注入繼續注入(waf攔截,關鍵字攔截,函數攔截等)
23.其他類似複雜注入問題
XSS的各種類型,各種各樣的payload,各種各樣的攻擊模塊妙用,當csrf遇上XSS(反射型xss,存儲型xss,flash xss,結合大廠商的一些實例)
上傳繞過
常見編輯器ewebditor、kindeditor、ueditor等的利用
文件流、雙文件、大小寫、javascript驗證、過濾等的花式繞過 CSS劫持
實戰市面上各種主流cms(從南方良精,到discuz,dedecms,phpcms,wordpress,jeecms,joomla)的拿shell方法
例如:
十一種常見cms拿shell方法
0×1 良精南方
0×2 phpweb
0×3 科訊
0×4 dedecms
0×5 塵緣雅境
0×6 aspcms
0×7 74cms
0×8 phpcms
0×9 shopex
0×10 老Y文章管理系統
0×11 ecshop
Flash跨域安全。
弱口令爆破。
oath認證中的一些問題。
信息收集(一樣的工具,不一樣的人使用的效果是不同的。越是詳盡的信息越會有意想不到的驚喜)
如何從企業最薄弱的地方進行滲透。
Google語法、 全網掃描、子域名、C段
資產收集,(郵箱爆破進入內網)。
漏洞詳解
無數種漏洞的利用方式, 基於國內主流漏洞所演化。
實戰大廠挖掘和一些套路,威脅情報的利用。
(CLRF,json安全,ssrf,github泄露,未授權訪問redis,memcache,mongdb,rsycn,ldap)
APP漏洞挖掘,在不會逆向app的情況下
PR、MS15-051、MS15-077、MS16-032 本地溢出提權
埠提權
mysql、mysql udf mof提權
第三方提權
內網滲透 lcx、nc等工具的使用(橫穿內網)
內網滲透之reGeorg+Proxifier+F-NAScan+proxychains
內網滲透之 cain、bettercap、ettercap等工具的使用以及拿域控的經驗與實戰
bettercap+mitmf+beef+metasploit
許可權保護
代碼審計:以php為例子,常見漏洞分析fortify SCA白盒審計工具的使用
PHP常見漏洞與安全編碼
1.SQL注入
2.跨站腳本
3.跨站請求偽造
4.代碼執行
5.命令行注入
6.文件包含(文件遍歷)
7.文件上傳
8.重定向
9.變數覆蓋
10.會話漏洞(會話劫持,會話固定)
11.身份驗證漏洞(弱口令,暴力破解)
12.許可權驗證漏洞
13.敏感信息泄露(列目錄,暴後台,暴路徑)
14.資源競爭(拒絕服務,並發處理漏洞)
java安全:從中間件安全到常見漏洞分析
常見java應用伺服器弱口令及拿webshell方法總結
無線安全:aircrack-ng組件的使用,常見無線破解套路演示,樹莓派使用,RTL-SDR無線電的使用,GSM嗅探演示
工控安全分析
滲透測試報告的編寫和模板(安全解決方案)
滲透測試工程師的基本素養和長期發展規劃(CISSP)
模擬面試
簡歷以及面試注意事項,面試中的一些套路
以上是課程目錄
別看都是基礎知識點,這個世界往往就是入門的這一腳最難,一旦入門,你會發現自己進步申訴,每一課就好像一顆珍珠,當你學完以後, 你的心中就像有根線把所有課程串成一串珍珠項鏈,整個web安全熟透於胸, 然後你只要根據這個系統不斷的去看去總結各類文章、教程。三五年以後你也是別人的背影。
培訓期間不定時布置作業,邀請其他圈內知名人物來講課
報名時間:2016/8/9——2016/8/30
培訓周期:30天
培訓費用:1500
報名聯繫:QQ/微信:876585551
更詳細的介紹官網:http://bianjie.sssie.com
推薦閱讀: