課程大綱
一、Web安全基礎    
    1、Web應用安全滲透測試概述
       —— HTTP協議分析概述
       —— 安全基本概念
       —— OWASP概述
       —— 國內Web威脅發展與趨勢
       —— Web滲透測試主要類型和思路
       —— 分層的理念和邊界的概念
       —— 縱深防御與安全意識
    2、Web應用信息收集技術
       —— 發現Web應用架構
       —— 識別主機/中間件/數據庫相關信息
       —— 識別基礎網絡架構和目標系統安全防御水平
       —— 探索目標系統的目錄結構
       —— 使用爬蟲技術，探索目標網站
       —— 開源情報分析方法介紹
    3、注入類攻擊技術
       —— 注入原理概述
       —— 命令注入、文件注入、SQL注入、盲注等攻擊技術
       —— SQLMAP等自動化工具介紹
       —— 使用Python編寫注入驗證腳本
       —— 注入漏洞的防御方法
       —— 常見注入漏洞的實例演示
    4、XSS類攻擊技術
       —— XSS/CSRF攻擊原理概述，可能造成的危害
       —— XSS攻擊的分類
       —— XSS攻擊的防御思路
       —— CSRF攻擊思路
    5、反序列化漏洞介紹
       —— 反序列化攻擊原理概述，可能造成的危害
       —— 反序列化漏洞的挖掘
       —— Weblogic反序列化漏洞演示
       —— Fastjson反序列化漏洞挖掘與利用
    6、其他OWASP top 10漏洞
       —— 不安全的對象直接引用
       —— 文件上傳漏洞
       —— XXE漏洞
       —— 不安全的加密和傳輸
       —— 失效的會話管理
       —— 其他常見漏洞
    7、業務邏輯漏洞測試
       —— 業務邏輯定義和危害
       —— 業務邏輯漏洞挖掘方法
       —— 典型業務邏輯漏洞介紹
二、滲透測試
    1、典型Web攻擊過程與防護
       —— 信息搜集和分析
       —— 工具掃描及結果分析
       —— 漏洞驗證及利用
       —— 獲取系統登錄權限
       —— 提升權限
       —— 安裝后門
       —— 嗅探和掃描其它系統
       —— 清理攻擊痕跡
       —— 滲透測試標準介紹
    2、滲透測試平臺/工具介紹
       —— Kali（BT）平臺介紹
       —— Metasploit 平臺簡介
       —— CS介紹
       —— Nmap詳細使用介紹
       —— Nessus/Nexpose使用介紹
       —— Appscan/Appspider使用介紹
    3、網絡安全等級保護三級要求與安全測試
       —— 等保三級通用要求實踐指南（2.0）
       —— 等保三級擴展安全要求（2.0）
       —— 應用安全功能與等保要求映射
       —— 安全管理要求與等保要求映射
課程周期：
30課時（45分/課時）