課程大綱
Kali安裝配置 |
|
滲透測試 |
Kali安裝 |
Linux常用命令 |
Kali基本配置 |
信息收集 |
|
域名信息收集 |
IP信息收集 |
端口服務(wù)信息收集 |
CMS指紋識別 |
CDN指紋識別 |
WAF指紋識別 |
搜索引擎收集信息 |
網(wǎng)絡(luò)空間搜索引擎 |
目錄掃描收集信息 |
git信息收集 |
SQL注入滲透與攻防 |
|
什么是SQL注入 |
數(shù)據(jù)庫基礎(chǔ) |
sqli-labs環(huán)境搭建 |
MYSQL手工注入 |
高權(quán)限注入 |
文件讀寫 |
基礎(chǔ)防御 |
判斷SQL注入點(diǎn) |
SQL注入之?dāng)?shù)據(jù)類型 |
SQL注入提交方式 |
SQL注入之報錯盲注 |
SQL注入之延時注入 |
SQL注入之布爾盲注 |
SQL注入之加解密注入 |
SQL注入之堆疊注入 |
SQL注入之WAF繞過 |
SQL注入之sqlmap安裝 |
sqlmap使用 |
XSS滲透與防御 |
|
HTTP協(xié)議回顧 |
Cookie和Session的作用 |
XSS基本概念和原理介紹 |
反射型XSS和儲存型XSS |
XSS獲取Cookie |
XSS釣魚獲取用戶密碼 |
XSS獲取鍵盤記錄 |
XSS平臺搭建 |
Kali beef-xss |
XSS漏洞檢測和利用 |
XSS防御與繞過 |
XSS小游戲靶場解題思路 |
文件上傳漏洞利用與防御 |
|
文件上傳代碼實(shí)現(xiàn) |
文件上傳常見場景 |
文件上傳漏洞原理 |
Webshell介紹 |
網(wǎng)站控制工具 |
漏洞帶來的危害有哪些 |
工具以及靶場安裝介紹 |
上傳文件代碼函數(shù)原理&上傳圖片攔截 |
后綴客戶端驗證 |
后綴黑名單驗證 |
后綴白名單驗證 |
文件頭變異驗證-驗證MIME |
二次渲染 |
代碼邏輯&&條件競爭 |
如何挖掘和利用文件上傳漏洞 |
如何防御文件上傳漏洞 |
文件包含漏洞利用與防御 |
|
為什么要包含文件 |
文件包含漏洞概述及分類演示 |
CVE實(shí)際漏洞案例 |
PHP相關(guān)函數(shù)和偽協(xié)議 |
DVWA靶場案例演示 |
CTF題目案例 |
文件包含漏洞挖掘與利用 |
文件包含漏洞修復(fù)方案 |
CSRF漏洞滲透與防御 |
|
CSRF漏洞概述及原理 |
CSRF案例分析:Gmail、Weibo CSRF漏洞 |
CSRF漏洞危害 |
CSRF和XSS的區(qū)別 |
CSRF常見payload寫法 |
CSRF漏洞挖掘與檢測工具 |
CSRF漏洞修復(fù)與防御之Referrer、Token、二次驗證 |
|
邏輯漏洞實(shí)戰(zhàn) |
|
網(wǎng)絡(luò)黑產(chǎn)事件與法律 |
邏輯漏洞挖掘必備技能 |
用戶名遍歷漏洞 |
惡意注冊 |
未授權(quán)訪問漏洞 |
Session和Cookie偽造 |
驗證碼突破 |
密碼找回漏洞 |
越權(quán)漏洞 |
短信轟炸漏洞 |
水平越權(quán) |
垂直越權(quán) |
AWVS漏洞掃描實(shí)戰(zhàn)
AppScan漏洞掃描實(shí)戰(zhàn)
MSF-Metasploit Framework實(shí)戰(zhàn)
挖漏洞項目實(shí)戰(zhàn)
信息手機(jī)-在線站點(diǎn) 挖漏洞-信息收集-工具
漏洞挖掘-fuzz 漏洞挖掘-SQL注入
漏洞挖掘-XSS 漏洞挖掘-越權(quán)漏洞
漏洞挖掘-LFI-CSRF 漏洞挖掘-SSRF
漏洞挖掘-文件上傳漏洞、RCE 漏洞挖掘-綜合實(shí)戰(zhàn)
實(shí)戰(zhàn)漏洞挖掘經(jīng)驗分享
師資力量
周園園老師
l清華大學(xué)計算機(jī)專業(yè)研究生,Oracle數(shù)據(jù)庫高認(rèn)證OC
lM獲得者,精通Oracle數(shù)據(jù)庫、分布式數(shù)據(jù)庫HBase的設(shè)
l計原理、開發(fā)和運(yùn)維工作。
l曾任京東大數(shù)據(jù)開發(fā)和算法工程師,精通大數(shù)據(jù)文件系
l統(tǒng)、計算框架MapReduce和Spark、機(jī)器學(xué)習(xí)算法等。
l精通]ava/Python語言,曾主導(dǎo)并開發(fā)公司內(nèi)部質(zhì)量管理
l平臺、接口自動化、性能自動化測試等平臺。
【機(jī)構(gòu)簡介】
慧測,中國專業(yè)的軟件測試服務(wù)基地,高端軟件測試人才培養(yǎng)的搖籃。
一直為企業(yè)輸送大量高端實(shí)用型人才 ,并為中國移動南方通信基地、 中國移動研究院、中國航天信息技術(shù)中心、曙光等知名企業(yè)提供軟件測試服務(wù)。
慧測聚集了國內(nèi)的軟件測試技術(shù)專家,這些專家專注于軟件測試技術(shù)和思想的研究,并在為各行業(yè)客戶實(shí)施服務(wù)的過程中積累了豐富的軟件測試實(shí)踐經(jīng)驗,形成了慧測獨(dú)有的軟件測試技術(shù)服務(wù)體系和企業(yè)解決方案。并和數(shù)萬名軟件測試從業(yè)者見證了慧測的發(fā)展壯大一。
2013年12月,開啟基于七大技術(shù)專題的性能測試高端培訓(xùn)
2014年12月,啟動涵蓋編程、Web、App、接口的自動化測試培訓(xùn)
2015年7月, 啟動全棧軟件測試工程師就業(yè)培訓(xùn)
2017年8月, 真正意義的測試開發(fā)課程在慧測誕生
2017年10月,慧測聯(lián)合紫光教育在清華科技園(西安)成立慧測子公司-紫光慧測科技有限公司
2018年,的DevOps&測試架構(gòu)師課程培訓(xùn)體系誕生于慧測
【辦學(xué)特色】
1,不限次數(shù)聽課,服務(wù)
2,60%以上的北京軟件公司都會有慧測學(xué)員,極廣的人脈學(xué)員高薪就業(yè)的**
3,軟件測試就業(yè)班——學(xué)習(xí)結(jié)束3個月未成功就業(yè)退還全部學(xué)費(fèi)
4,專業(yè)不限,零基礎(chǔ)入門,手把手教您真正學(xué)會軟件測試
5,超實(shí)用的緊貼企業(yè)需求的課程體系,全程實(shí)戰(zhàn),讓您真正學(xué)到企業(yè)需要的軟件測試技術(shù)
6,免費(fèi)試聽一個禮拜,不滿意分文不取
7,零學(xué)費(fèi)入學(xué),和企業(yè)簽訂正式就業(yè)勞動合同后付費(fèi)即
【機(jī)構(gòu)榮譽(yù)】
榮譽(yù)展示
100%滿意度
北京慧測大模型應(yīng)用&軟件測試實(shí)訓(xùn)基地
綜合
環(huán)境 : 5.0師資 : 5.0教學(xué) : 5.0