时间
| 培训内容
|
第一天
| CISP-PTE考试大纲内容讲解及考试重点
|
信息安全底子
|
HTTP协议底子
|
WEB安全知识体系先容
|
信息收集(端口扫描、目录扫描、敏感文件泄漏)
|
SQL注入弊端原理、类型(整型、字符型、cookie、时间延时注入、盲注等类型)
|
第二天
| SQL注入弊端原理、类型(整型、字符型、cookie、时间延时注入、盲注等类型)
|
数据库底子(数据库结构、数据库权限、常见的查询语句、增编削查语句)
|
SQL注入,手工注入实战(配合刚学的数据库查询语句)
|
SQL注入工具SQLMap的利用(tamper的利用、文件读写等方法)
|
第三天
| SQL注入工具SQLMap的利用(tamper的利用、文件读写等方法)
|
XSS弊端(存储型、反射型、DOM型)原理、XSS弊端实战、XSS弊端绕过方式
|
XSS弊端防御与修复
|
SSRF原理与实战、CSRF原理与实战、SSRF、CSRF弊端防御与修复
|
第四天
| 文件上传弊端原理、实战;文件上传类型、文件上传绕过(Type、扩展名、JS等)
|
文件上传弊端的防御与修复
|
恣意文件下载弊端原理、实战
|
恣意文件下载防御与修复
|
第五天
| 文件包罗弊端原理、PHP中的文件包罗(本地包罗、远程包罗)
|
文件包罗弊端的防御与修复
|
命令执行弊端原理、远程命令执行弊端防御
|
远程代码执行弊端原理、防御
|
Java反序列化弊端、防御(Jboss、webLogic等)
|
第六天
| 弱口令弊端实战与防御
|
中心件弱口令部署木马(Tomcat、WebLogic、JBoss)
|
中心件解析弊端(IIS解析弊端、Nginx解析弊端、Apache解析弊端等)
|
中心件的目录遍历
|
中心件目录遍历弊端的修复
|
第七天
| 访问控制弊端(横向越权、垂直越权弊端的原理与修复)
|
会话挟制弊端(Session的原理、HttpOnly)、会话挟制弊端修复
|
常见木马的利用(PHP木马、ASP木马、ASPX木马)
|
Web扫描器的利用(WVS、AppScan等)
|
提权(简单提权、win2003提权、win2008提权、linux提权)
|
第八天
| 提权(简单提权、win2003提权、win2008提权、linux提权)
|
中心件日志、数据库日志、系统日志分析,定位攻击者的攻击方式和IP
|
本期培训知识点汇总
|