什么是网络安全渗透测试?
网络安全渗透测试(penetration test)是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法,包括对系统的任何弱点、技术缺陷或漏洞的主动分析。渗透测试服务的目的在于充分挖掘系统的弱点,从而让管理人员了解其系统所面临的威胁。渗透测试工作往往作为风险评估的一个重要环节,为风险评估提供重要的原始参考数据。
为什么要参加网络安全渗透测试培训?
在当前疫情以及各项相关法律的出台(《数据安全法》,《个人信息保护法》)的背景下,网络安全话题变得愈发重要。在线上业务拓展以及数字化转型过程中,企业在Web应用产品的安全风险检测方面发现了更多新的挑战。为此,安永研究院也新增了网络安全渗透测试培训课程,以帮助企业的相关岗位人员更加有效地进行网络安全风险控制,为企业迅速发展和健康运营保驾护航。
适合参加网络安全渗透测试培训的企业及相关人员有哪些?
今年安永发布的《2021安永全球信息安全调查报告(GISS)》(以下简称《报告》),揭示了企业在全球疫情背景下所面临的诸多信息安全威胁与挑战,并针对性地提出化危为机的解决方案。该报告是安永持续第23年发布的全球信息安全调查报告,旨在探索当今企业所面对的最重要网络安全议题。报告显示,新冠疫情催化了云计算等技术的应用以及办公场景的变革,企业因此需要应对更加复杂多样的网络安全风险,然而四分之三的中国受访企业(75%)不确定其网络安全防御体系是否足以应对黑客的攻击。这些类型的企业或者从事相关职业的人员都非常适合参加该培训。
符合以下条件,都可以参加培训。
1. 累计从事相关职业工作1年(含以上);
2. 相关专业在校学生;
3. 零基础或者有一定基础的专业人员,例如:
- 与网络、计算机、IT相关和开发的技术人员;
- 产品经理(了解安全相关方面的需求);
- 对渗透测试有兴趣、有从业意向的人员。
参加网络安全渗透测试课程能获得什么?
1. 参加培训并通过考试的学员,可获得安永研究院网络安全渗透测试课程出席证书。
2. 学员可以掌握渗透测试初级认识、基本原理和初级操作,提升日常网络安全防御意识,从而提高企业与渗透测试专业供应商的对接能力和协调能力。
3. 学员可以通过课程学习,独立地对业务资产进行漏洞扫描,漏洞复现、漏洞管理以及手工渗透测试。同时,可以掌握常见的渗透测试攻击技术,对有需求的应用或者产品自行进行渗透测试并输出符合国际规范的渗透测试报告。
二)课程内容介绍课程简介
本次渗透测试培训课程适用于零基础或者有基础网络知识的IT相关从业人员。主要针对的业务线为企业的网络安全方向。用于Web产品上线前的安全检查;已上线网站或产品的Web安全漏洞扫描、验证和常见的OWASP(The Open Web Application Security Project)TOP 10高危漏洞的自查;学习并通过考试的学员可以熟练使用相关漏洞工具进行渗透测试。
经过本系列课程学习并通过考核的人员将具备以下技能:
1. 熟悉渗透测试步骤,方法,流程,熟练使用专业的渗透测试工具。
2. 熟练使用常见的渗透测试工具,并以手工渗透测试或者结合工具的方式对相关应用进行安全测试。
3. 拥有较强的安全攻防能力,较强的风险防范意识,并能够有针对性的进行风险管理。
课程框架和大纲
1)Web安全基础介绍
1. Web工作模型及原理讲解
2. TCP/IP、HTTP/HTTPs讲解
3. Pentest测试流程讲解
2)Web渗透测试工具配置及使用
1. Burpsuite工具的配置和使用
2. SQLMAP工具的配置和使用
3. 目录扫描工具的配置和使用
3)Web渗透测试漏洞扫描及验证
1. Burpsuite Web漏洞扫描及验证
2. Nmap端口扫描
3. AWVS Web漏洞扫描及验证
4. Nessus主机漏洞扫描及验证
4)Web渗透测试漏洞挖掘
1. SQL注入漏洞
2. 跨站脚本攻击(反射型、存储型)
3. 逻辑漏洞(未授权访问、越权)
4. 任意文件上传漏洞实验
5. 敏感文件泄露实验
5)Web综合仿真项目实验(考试)
6)Web综合考试(笔试)
可根据企业内部的安全战略增加所需的定制课程:
1. 可以根据企业的安全战略情况制定定制开发课程,例如:APP渗透测试培训/微信公众号和小程序渗透测试培训
2. 商业邮件钓鱼攻击模拟演练
3. 勒索病毒攻击模拟演练
4. 红蓝对抗攻击模拟演练项目
5. 紫队攻击模拟演练项目(兼并防守与攻击的综合型攻防演练)
三)报名详情请访问本地址,按相关提示报名:【邀请函】安永研究院推出网络安全渗透测试培训课程
本文是为提供一般信息的用途所撰写,并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。
最新评论