|
渗透测试工程师简介
渗透测试 (penetration test)并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。简言之就是从攻击者的角度对应用程序或网络进行安全评估和测试、检查和审核其存在的问题和安全性。
渗透测试工程师职业前景
从世界范围看,网络安全威胁和风险日益突出。数字时代,更多的连接意味着更多的漏洞,所有网络攻击的核心都是利用漏洞并随着技术的发展产生新的难题。网络空间的攻防对抗,归根结底是人才之间的竞争。因此,急需攻防兼备能力的人才队伍,提升应对网络安全威胁的能力,捍卫国家网络空间的安全和利益。在种大背景下政府、央企、能源、金融、民航、互联网公司、安全厂商等急需大量的渗透测试工程师为网络安全保驾护航。职友集网的网络安全工程师全国薪资统计数据,渗透测试工程师平均薪资高达13.7K每月,这组数据从另外一个维度说明渗透测试工程师职业和收入前景较好。
安程似锦|渗透测试实战工程师课程内容
启航
| 课程章节 | 课程内容 | | 网络安全行业分析 | 网络安全行业现状 | | 网络安全行业前景 | | 网络安全项目机会 | | 网络安全职业分析 | 网络安全职业分析 | | 网络安全证书分析 | | 如何选择网络安全职业方向 | 如何选择网络安全职业 | | 如何做好职业生涯规划 | | 网络安全高效学习方法 | 如何学习与学习理论 | | 学习的常见问题 | | 学习的分类与效果 | | 高效的学习方法 | | 学习的各种管理方法 | | 网络安全人员的基本要求 | 网络安全人员的基本素养 | | 网络安全人员的基本技能 | | 网络安全如何入门 | | 如何学习Web安全 | Web安全相关技能 | | Web安全的知识要点 | | Web安全的高级进阶 | | 如何学习渗透测试 | 渗透测试相关技能 | | 渗透测试的知识要点 |
基础
| 课程名称 | 课程章节 | 课程内容 | | 安全意识专题 | 用户安全意识 | 系统及网络的可用性及安全性(办公的PC,家用的PC等) | | 研究成果、项目文档 | | 个人私密信息(身份证号、电话号码、车牌号码等) | | 账号信息及密码 | | 虚拟财产(游戏账号,qq账号等) | | 真实的钱财(网络银行账号,股票基金账户) | | 即时聊天工具里的社会工程学 | | 网页钓鱼、邮件欺诈、短信欺诈 | | 真实生活中的社会工程学 | | 主要安全威胁熟悉 | 病毒木马能给我们带来哪些影响? | | 如何进行判断我们PC机被病毒和木马感染? | | 如何防范病毒和木马 | | 我们的信息是如何泄露的? | | 常见的获取信息的手段有哪些? | | 我们如何预防个人信息的泄露? | | 无限设备滥用带来的风险有哪些? | | 蹭网的风险 | | 手机APP软件的风险 | | 手机丢失带来的风险 | | 如何预防无线设备带来的风险 | | 如何预防手机等智能终端带来的风险 | | 安全防护措施 | 补丁程序 | | 防火墙、杀毒软件 | | 登陆用户权限设置 | | 介绍常规的无线和移动终端加固策略 | | 介绍目前主流的路由器和移动终端防护原理 | | 介绍个人行为和密码管理加固策略 | | 介绍上网行为和社会工程学防范策略 | | 安全管理措施 | 物理保护 | | 做好备份 | | 预防病毒 | | 正确使用硬件 | | 安全审计 | | 加强人员安全意识教育 | | 关注网上犯罪趋势,不断推出新的防范措施 | | 加强与安全厂商的交流与合作(使犯罪分子无处可逃) | | 加强对网上应用、手机应用的管控力度 | | 攻防名词基础专题 | 网络安全专业术语介绍 | 主要对安全评估、安全监管、移动安全、数据安全、云计算安全、漏洞扫描、IDS/IPS、下一代防火墙、waf、抗DDOS等进行介绍 | | 渗透专业术语介绍 | 主要对脚本、MD5、HTTP协议、CMS、框架、WebShell、跳板、C段入侵等专业名词介绍 | | 攻防测试环境搭建 | VM虚拟机 | VM虚拟机使用 | | VM虚拟机安装ubuntu | | VM虚拟机安装kali | | vm虚拟机安装windows | | VM虚拟机网络问题解决方案 | | 其它虚拟机介绍 | | 环境搭建 | Windows2003环境IIS6的APS搭建 | | Windows2003环境IIS6+MySQL+PHP搭建 | | Windows2008环境IIS7的ASP环境搭建 | | Windows下Tomcat的环境搭建 | | Windows下phpstudy+wamp的搭建与使用 | | Linux下LAMP环境的搭建 | | Linux下Tomact环境搭建 | | Windows SQL Server的环境搭建 | | Windows和Linux下Oracle数据搭建 | | Docker的使用和环境搭建 | Docker的简单介绍 | | 安装Docker | | 镜像的介绍及使用 | | 容器的介绍及使用 | | 仓库的介绍及使用 | | Docker网络 | | Docker加速 | | Docker清理 | | Docker的lamp环境镜像的制作 | | Dockerfile介绍与编写 | | Docker-compose项目 | | 使用Docker可能遇到的问题及解决 | | 使用Docker搭建创建项目实例 | | Docker漏洞环境搭建 | | 网络安全基础专题 | 操作系统使用 | 操作系统概述与介绍 | | Windows系统介绍 | | Windows系统常用命令上 | | Windows系统常用命令下 | | Linux系统介绍 | | Linux常用命令上 | | Linux常用命令中 | | Linux常用命令中 | | 数据库基础 | Access数据库的基本操作 | | sqlite数据库的基本操作 | | MySQL数据库的基本操作 | | SQL Server数据库的基本操作 | | mongodb数据库的基本操作 | | Oracle数据库的基本操作 | | 操作系统安全基础 | 操作系统的安全风险与防御 | | Windows操作系统账户安全 | | Windows操作系统的文件安全 | | Windows操作系统的日志分析 | | Windows 注册表学习 | | Windows认证方式学习 | | Linux操作系统账户安全 | | Linux操作的文件安全 | | Linux操作的日志分析 | | Linux下的认证方式 | | 语言基础 | JS语言基础 | | PHP语言基础 | | ASP语言基础 | | JSP语言基础 | | Python语言基础 | | CSS语言基础 | | HTML语言基础 | | Web服务基础 | Web服务器架构及基本原理 | | Web服务HTTP协议与状态码介绍 | | Web服务之中间件及基本配置介绍 | | Web服务之数据库及基本配置介绍 | | 网络通信基础 | 网络通信基本原理 | | 网络通信协议TCP/IP | | 网络通信扫面与探测原理解析 | | 网络地址与通信协议基础 | | 常见通信协议介绍 | | 网络通信域名基础 | | 介绍网络通信DDOS攻击 | | 介绍网络通信的IP欺骗 | | 介绍网络通信ARP欺骗 | | 介绍网络通信域名欺骗与劫持 | | 渗透测试基础专题 | 渗透测试基础 | 渗透测试测试概念与流程介绍 | | 渗透测试信息收集简介 | | 渗透测试漏洞发现与利用过程 | | 渗透测试获取webshell与权限提升 | | 渗透测试中各类一句话木马介绍 | | 渗透测试各类漏洞简介 | | 渗透测试报告的编写 |
项目实训
| 项目名称 | 项目描述 | 任务名称 | 子任务 | | 编写渗透测试实施方案 | 编写渗透测试实施方案 | 编写渗透测试实施方案 | 无 | | WEB渗透测试 | 通过远程/本地渗透测试全面检测信息系统直接暴露在互联网上的安全隐患,并提供实际可行的安全修复建议。 | 对目标进行信息收集 | 域名信息收集 | | 公司敏感信息信息收集 | | 网站指纹识别 | | 存活主机扫描 | | 主机端口扫描 | | 网站敏感文件和目录扫描 | | 旁站和C段扫描 | | 漏洞扫描 | | 社会工程学信息收集 | | 资产梳理和分类 | | 对目标进行漏洞测试 | 信息泄露漏洞 | | 目录遍历漏洞 | | 命令执行漏洞 | | 文件包含漏洞 | | SQL注入漏洞 | | 跨站脚本漏洞 | | 弱口令漏洞 | | Struts2远程命令执行漏洞 | | 会话管理漏洞 | | 水平越权漏洞 | | 垂直越权漏洞 | | 反序列化漏洞 | | 对目标进行内网渗透测试 | DMZ渗透 | | 跳板及内网探测 | | 网络嗅探 | | 后渗透 | 痕迹清理 | | 后门制作 | | 渗透测试报告 | | WEB颗粒度测试 | 做一次全面的WEB安全检查 | 功能点测试 | 注册 | | 登录 | | 密码找回 | | 支付 | | 个人中心 | | 订单 | | 评论反馈 | | 充值 | | 活动 | | 客服 | | 提现 | | 账户 | | 商品 | | 收货地址 | | 主机漏洞测试 | windows 漏洞测试 | | linux 漏洞测试 | | web应用服务测试 | ngixn | | iis | | apache | | tomcat | | weblogic | | jboss | | WebSphere | | GlassFish | | Jenkins | | Resin | | Jetty | | Lotus | | axis2 | | 应用服务测试 | ftp | | ssh | | dns | | samba | | vnc | | 数据库服务 | Mysq | | MSSQL | | Oracle | | PostgreSQL | | MongoDB | | Redis | | SysBase | | DB2 | | mem cache |
课程研发
调研网络安全行业中众多用人单位,根据企业用人岗位知识技能要求开发,课程体系经用人单位评估,多方协同联合培养。
实操靶场
所有环境均采用真实的渗透测试项目中企业业务场景,经过修改脱敏提炼而来,搭建在漏洞平台上,以企业业务场景与安全设备实操攻防对抗,提升学员基础知识和专业技能,增加实操经验,让学员做到学以致用。。
项目实战
丰富的企业项目实战,待学员学习完基础课程后,经评估合格,可参与丰富的企业项目实战(渗透、安服、风评等众测项目)。
讲师介绍
- 陈老师是OWASP中国北京负责人、51CTO信息安全专家、工信部电子考试中心信息安全项目组(NSACE)特聘信息安全专家、北京海淀分局网络监察处的取证协助专家、贵州国家网络靶场专家、重庆实战演练专家、大学生信息安全专委会成员专家,曾先后组织完成教育部、青奥会、14家重点央企、多家国内大型银行的移动互联和安全渗透测试;多次参与全国高职信息安全大赛题目设计,曾多次接受央视及主流地方电视台的采访,多次参与信息安全专著的编写或翻译工作,多次参与全国或者区域性攻防赛的方案设计或点评,多次作为专家受邀对中央相关部委及全国各地厅办局进行网络安全内训。
- 裴老师
代号“大尾巴狼”,网络安全实战王者,资深CISP-PTE、CCSRP培训讲师,在大型复杂网络环境渗透测试、应急响应经验丰富;海量CTF和网安技能比赛经验;在补天、漏洞盒子、教育SRC等平台提交漏洞数量超过1000;参与过蓝队课程开发和渗透测试项目实战。
- 李老师
渗透测试及应急响应工程师,九年网络安全服务经验,主要从事安全服务项目交付及渗透测试、应急响应、信息安全培训。同时擅长信息安全风险评估、应用系统渗透测试、企业信息安全体系建设及信息安全培训。曾参与多个央企的信息安全体系建设与安全评估。
- 贾老师
熟练掌握渗透测试工具使用;熟练掌握Owasp 前十漏洞利用和原理,以及其他漏洞;熟练掌握 Windows、Linux、中间件、数据库系统,并熟悉Windows 和 Linux、中间件、数据库加固等; 熟悉php、python、html等语言;熟悉web渗透测试、内网渗透以及痕迹清理;补天和漏洞盒子均提交到过高危漏洞;熟悉各家厂商设备、应急响应过程,如入侵过程还原,排查系统后门等。
- 贺老师
研究生学历,硕士、高级工程师,网络安全等级保护专家组成员。毕业于北京交通大学计算机与信息技术学院。多年从事信息化及网络安全建设工作经验。主要讲授信息安全内训、网络安全、CISP\CISSP\CISAW、路由与交换、数据安全、安全运维、等级保护等课程。曾任某大型数涉密据中心搬迁技术负责人,能源部大型国企信息安全技术顾问等岗位。
安程似锦|渗透测试实战工程师课程特色
- 先进的学员优选方式,创新的教学方式
- 多维多层测评体系,实用的职业规划和就业指导
- 创新务实的培养体系,丰富的企业项目实习,多方协同联合培养
- 专业、前沿的课程内容,国际国内认证加持
- 对于测评后合格的学员,保障在一线城市年薪10w+就业,不合格者免费重学直至就业
安程似锦|渗透测试实战工程师培养对象
- 计算机/信息/网络安全等相关专业的学生
- IT行业相关从业人员
- 0基础,对网络安全、攻防实战感兴趣,能吃苦耐劳的爱好者
安程似锦|渗透测试实战工程师增值服务
- 安程无忧:根据培训学员测评结果对学员进行就业匹配并进行简历优化、面试辅导、法律法规、职业道德等方面的就业指导,助力学员顺利入职企业。
- 职后伴成长:定期对学员入职后的心理状态、工作情况等方面进行追踪与关怀,通过与学员和企业的双向回访,及时发现学员在工作中存在的问题并提供力所能及的职业赋能与帮助,促进学员的成长,同时更多保障用人单位的利益。
|