课程大纲
一、Web安全基础    
    1、Web应用安全渗透测试概述
       —— HTTP协议分析概述
       —— 安全基本概念
       —— OWASP概述
       —— 国内Web威胁发展与趋势
       —— Web渗透测试主要类型和思路
       —— 分层的理念和边界的概念
       —— 纵深防御与安全意识
    2、Web应用信息收集技术
       —— 发现Web应用架构
       —— 识别主机/中间件/数据库相关信息
       —— 识别基础网络架构和目标系统安全防御水平
       —— 探索目标系统的目录结构
       —— 使用爬虫技术，探索目标网站
       —— 开源情报分析方法介绍
    3、注入类攻击技术
       —— 注入原理概述
       —— 命令注入、文件注入、SQL注入、盲注等攻击技术
       —— SQLMAP等自动化工具介绍
       —— 使用Python编写注入验证脚本
       —— 注入漏洞的防御方法
       —— 常见注入漏洞的实例演示
    4、XSS类攻击技术
       —— XSS/CSRF攻击原理概述，可能造成的危害
       —— XSS攻击的分类
       —— XSS攻击的防御思路
       —— CSRF攻击思路
    5、反序列化漏洞介绍
       —— 反序列化攻击原理概述，可能造成的危害
       —— 反序列化漏洞的挖掘
       —— Weblogic反序列化漏洞演示
       —— Fastjson反序列化漏洞挖掘与利用
    6、其他OWASP top 10漏洞
       —— 不安全的对象直接引用
       —— 文件上传漏洞
       —— XXE漏洞
       —— 不安全的加密和传输
       —— 失效的会话管理
       —— 其他常见漏洞
    7、业务逻辑漏洞测试
       —— 业务逻辑定义和危害
       —— 业务逻辑漏洞挖掘方法
       —— 典型业务逻辑漏洞介绍
二、渗透测试
    1、典型Web攻击过程与防护
       —— 信息搜集和分析
       —— 工具扫描及结果分析
       —— 漏洞验证及利用
       —— 获取系统登录权限
       —— 提升权限
       —— 安装后门
       —— 嗅探和扫描其它系统
       —— 清理攻击痕迹
       —— 渗透测试标准介绍
    2、渗透测试平台/工具介绍
       —— Kali（BT）平台介绍
       —— Metasploit 平台简介
       —— CS介绍
       —— Nmap详细使用介绍
       —— Nessus/Nexpose使用介绍
       —— Appscan/Appspider使用介绍
    3、网络安全等级保护三级要求与安全测试
       —— 等保三级通用要求实践指南（2.0）
       —— 等保三级扩展安全要求（2.0）
       —— 应用安全功能与等保要求映射
       —— 安全管理要求与等保要求映射
课程周期：
30课时（45分/课时）