课程大纲
| 阶段 | 知识点提炼 | 掌握核心能力 |
|---|---|---|
| 阶段一 网络安全筑基 | 1. 网络安全导论 | 1. 网络安全行业讲解 2. 网络安全证书与赛事 3. 网络安全意识与法律法规 4. 网络安全就业 5. 网络安全管理概述 6. 安全运营、运维、模型、等保 |
| 2. 操作系统基础 | 1. 极作系统讲解 2. Windows系统 3. 用户组管理与RDP远程 4. Linux系统 5. 进程与UserManager 6. Shell基础与实践 | |
| 3. 网络安全基础 | 1. 计算机网络基础 2. OSI与TCP网络模型 3. 内网与外网 4. 极络协议安全 5. ARP欺诈攻击 6. 僵尸网络与DDOS | |
| 4. Web安全基础 | 1. Web基础 2. Web访问流程 3. Web前端-HTML+CSS+JS 4. Web后端-PHP+Python 5. Web安全问题 6. OWASP TOP10 | |
| 5. 数据库安全基础 | 1. 数据库讲解 2. 数据库SQL语言 3. 分组查询、关联查询、子查询 4. 数据库安全加固 5. SQL注入漏洞 6. 数据库加固实操 | |
| 6. 专家讲座 | 1. 网安现状与发展趋势 2. 网络安全职业路线 3. 网络安全个人发展方向 4. 网安就业与面试解读 5. 360实训平台操作演示 6. 网络安全领域核心总结 |
| 阶段 | 知识点提炼 | 掌握核心能力 |
|---|---|---|
| 阶段二 漏洞挖掘训练营 | 1. 情报收集 | 1.基本信息收集 2.域名信息收集 3.端口信息收集 4.指纹识别 5.Web整站信息收集 6.Python信息收集实战 |
| 2. 弱口令与口令爆破 | 1.弱口令基本概念 2.口令爆破 3.Python暴破实践 4.爆破实战 5.hydra暴力破解 6.暴破的防御 | |
| 3. 注入 | 1.SQL注入基础 2.SQL注入原理 3.SQL注入进阶 4.SQL堆叠查询实战 5.SQL注入高阶 6.SQL注入防护实战 | |
| 4. XSS漏洞 | 1.XSS漏洞利用与防御 2.同源策略讲解 3.XSS绕过方法与修复技巧 4.利用HTML属性绕过 5.长度限制绕过 6.CSS跨站解析 | |
| 5. GSRF漏洞 | 1.CSRF漏洞利用 2.CSRF攻击原理解读 3.CSRF漏洞实战 4.SSRF漏洞挖掘技巧 5.SSRF漏洞实战 6.伪协议内网探针 | |
| 6. XXE | 1.XXE简介与危害 2.XXE漏洞基础 3.XXE漏洞原理解读 4.XXE高阶利用实战 5.XXE漏洞利用与防御 6.XXE高阶防御实战 | |
| 7. 文件上传/读取/包含漏洞 | 1.任意文件上传漏洞 2.文件上传漏洞的产生与危害 3.文件上传漏洞实战 4.文件包含/读取漏洞 5.文件包含漏洞修复与防御实战 6.文件下载/读取漏洞利用实战 | |
| 8. 漏洞 | 1.RCE基础 2.RCE漏洞原理分析 3.命令执行函数 4.RCE漏洞利用 5.WebShell实战 6.RCE漏洞防御实战 | |
| 9. 逻辑漏洞 | 1.逻辑漏洞概述 2.验证机制问题 3.任意用户密码重置 4.权限控制问题 5.水平越权与垂直越权 6.业务逻辑漏洞 | |
| 10. 反序列化漏洞 | 1.反序列化漏洞基础 2.反序列化漏洞原理 3.反序列化漏洞危害 4.漏洞利用与防御 5.反序列化漏洞利用实战 6.反序列化漏洞防御方法 | |
| 11. SRC漏洞挖掘分享 | 1.SCR漏洞挖掘基础 2.SRC漏洞挖掘平台 3.漏洞挖掘技巧 4.SRC漏洞挖掘实训 5.漏洞挖掘经验分享 6.360专家讲座 |
| 阶段 | 知识点提炼 | 掌握核心能力 |
|---|---|---|
| 阶段三 渗透测试工程师 | 1.网络安全渗透测试理论 | 1.网络安全渗透测试概念简介 2.网站安全渗透测试的执行标准 3.威胁建模阶段与漏洞分析阶段 4.渗透测试的常用工具 5.渗透测试报告的编写 6.渗透测试报告应包含的内容 |
| 2.漏洞扫描 | 1.漏洞扫描行业经验与基础 2.AppScan安装配置及扫描 3.Goby安装配置及扫描 4.AWVS安装配置及扫描 5.Nessus安装配置及扫描 6.Wpscan/ThinkPhpGUI | |
| 3.漏洞利用实战 | 1.应用软件格式渗透利用word去渗透 2.利用samba服务漏洞入侵Linux主机 3.Bash Shellshock(破壳)4.PHP CGI漏洞利用 5.Distcc后门漏洞 6.震网三代(远程快捷方式漏洞) | |
| 4.渗透测试实战 | 1.渗透测试环境搭建 2.信息收集 3.服务器信息与CMS指纹识别 4.系统漏洞探针 5.Web应用漏洞探针 6.渗透报告标准与编写 | |
| 5.内网渗透实战 | 1.域渗透 2.隧道与代理 3.权限提升 4.横向移动 5.权限维持 6.后渗透 | |
| 6.权限提升实战 | 1.Windwos提权实战 2.系统服务权限配置错误提权实战 3.本地dll劫持提权实战 4.Linux提权实战 5.脏牛内核溢出提权实战 6.计划任务反弹shell提权实战 | |
| 7.代码审计实战 | 1.代码审计思路 2.帝国CMS功能审计之RCE远程代码执行 3.XDebug与PhpStorm断点调试配置 4.MVC架构项目审计 5.MVC项目源码路径解析 6.HDWIKICMS文件上传审计实践 | |
| 8.360专家讲座 | 1.渗透测试实战分享 2.漏洞扫描到漏洞利用 3.内网渗透方向经验总结 4.提权行业方向发展 5.待审在企业中脱颖而出 6.360专家对渗透的理解 |
| 阶段 | 知识点提炼 | 掌握核心能力 |
|---|---|---|
| 阶段四 安全攻防训练营 | 1. 社工与钓鱼 | 1.社工库与多维度信息收集 2.CobaltStrike配置 3.网站克隆和钓鱼邮件 4.Office-DOC&EXCEL&宏 5.电子书&CHM&加载JS 6.快捷方式-LNK&加载HTA |
| 2. 免杀实战 | 1.免杀思路与混淆处理 2.打包生成器 3.特征码加花加壳 4.shellcode免杀之特殊传值 5.免杀工具 6.manjusaka与掩日 | |
| 3. 操作系统入侵响应实战 | 1.Linux入侵响应实战 2.Rootkit后门隐藏实战 3.入侵排查实战 4.RootKit后门查杀实战 5.Windows入侵分析实战 6.PCHunter/火绒剑/userassistview等 | |
| 4. 应急响应实战 | 1.应急响应 2.Web入侵响应实战 3.病毒响应实战 4.系统与第三方软件漏洞入侵 5.系统漏洞检索 6.取证溯源与态势感知 | |
| 5. 红蓝对抗实战 | 1.模拟攻防对抗 2.红队攻击实践 3.蓝队防守实践 4.HW护网行动 5.蜜罐部署系列 6.IDS/IPS与态势感知 | |
| 6. CTF夺旗赛 | 1.CTF详情 2.CTF靶场与CTF比赛规则 3.CTF比赛模式 4.红队(攻击) 5.蓝队(防守) 6.CTF真题讲解 | |
| 7. 专家讲座 | 1.攻防对抗实战分享 2.攻防演练经验传授 3.社工运用技巧 4.应急响应经验 5.免杀经验分享 6.CTF比赛流程细节总结 |
