您好,欢迎访问三七文档
1网络攻防培训方案一、学习目的网络安全目的:保护计算机、网络系统的硬件、软件及其系统中的数据,使之不因偶然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续可靠正常地运行,使网络服务不中断。本次学习目的:希望通过本次学习,了解一些最基本的网络攻击的原理与技术,熟悉使用一些主流的攻击工具,并能够针对这些基本的攻击发现安全漏洞、找到应对措施。二、培训原则为了强化培训的实际效果,培训原则是:联系实际、学以致用。注重突出培训工作的操作性、实用性和有序性。三、培训对象培训对象是:信息学院大一、大二对网络安全及攻防有兴趣的学生。四、对象来源信息学院大一、大二学生。五、学习方式为了使培训目的和培训效果实现统一,主要采取的方式有讲授法、演示法、研讨法和案例研究法等。坦白说,对于培训我们没有任何经验,我们也是抱着互相学习的态度,所以难免会有一些不如意,非常欢迎大家能够指出缺点和给出意见。我想,除了培训本身之外,更重要的是给大家提供了一个交流的机会,激起大家学习信息安全技术的热情。2六、学习内容一些常见的技术性手段:WEB安全介绍-常见漏洞、注入(SQL、系统命令)、XSS跨站、上传4、源代码泄露5、网站编辑器(FCKeditor、Ewebeditor)6、数据库备份(网站后台)WEB安全介绍-WEB后门程序:网站后门、PHP、ASPX、JSP、PERL、Python大马:phpspy、aspxspy、jspspy小马:功能单一,只有上传功能。一句话木马:中国菜刀一些工具介绍•BurpSuite:web安全漏洞检测、利用工具。•WebScarab:web安全漏洞检测、利用工具。•Paros:web安全漏洞检测、利用工具。•Wireshark:免费的抓包、嗅探工具。•OpenSSL:开源的SSL加密技术软件包。•JDK:java程序的开发工具包。•JRE:java程序的运行环境。•WEB漏洞扫描:WVS、appscan、JSKY、webinspect•SQL注入工具:Pangolin、啊D、明小子、HDSI……渗透技巧-流程、搜索目标相关信息(Googlehack、查看网页源文件、社会工程学)3、漏洞扫描、端口扫描工具、旁注、漏洞利用工具、手工利用漏洞、获取权限、系统权限(内网)、权限提升、内网、C段网络渗透(网络嗅探、ARP欺骗)渗透技巧旁注:从旁注入同一台服务器的其他网站来入侵目标网站、同一个C段服务器注入:注入:有明显的错误信息、注入结果。盲注:没有、没有明显的注入结果的显示、系统命令注入、渗透技巧-注入类型SQL注入类型:整形:URL地址后面字符型:URL地址后面搜索型:网站的搜索框提交方法:注入:URL地址后面注入:表单、搜索框注入:cookie文件、put渗透技巧-寻找后台1、手工猜测:admin、root、manager、login、管理员、工具自动猜测:、搜索引擎,Googlehack、百度4管理员site:xxx.edu.cn、爬行工具,WVS个人认为,除了掌握一些工具技术之外,网络安全最重要的因素是人。一些人可能遵从了专家所有最好的安全建议,安装了各种受推荐的安全产品,并十分谨慎的处理系统配置以及应用安全补丁,但他们仍然很不安全。因为人为因素才是安全的软肋。信息安全最大的威胁是什么?很简单,社会工程师。一个无所顾忌的魔术师,用他的左手吸引你的注意,右手窃取你的秘密。他通常十分友善,很会说话,并会让人感到遇上他是件荣幸的事情。我们学习攻击的目的是为了防护,作为攻击者,可以不懂社会工程学,但作为防护者,就应该对社会工程学有一定了解,推荐了解《社会工程学》,作者是范建中,还有史蒂夫·沃尼亚克的《欺骗的艺术》。七、学习时间15号以后大部分时间应该有空。具体时间可以再讨论。八、学习地点。。。。。。待定九、学习要求了解掌握基本的安全知识,对攻击有一定的认识,并能根据这些攻击找到相应的应对措施。5十、学习标准。。。。。
本文标题:网络攻防培训方案
链接地址:https://www.777doc.com/doc-5818445 .html