做企业培训,当然要找对好讲师!合作联系

刘晖:网络安全实战攻防技术培训

刘晖老师刘晖 注册讲师 150查看

课程概要

培训时长 : 5天

课程价格 : 扫码添加微信咨询

课程分类 : 培训开发

课程编号 : 16947

面议联系老师

适用对象

相关人员

课程介绍

【课程特色】

1.   课上采用案例式教学,通俗易懂,课下一对一辅导强化训练,学与练交叉进行强化记忆,你所要做的就是认真听,勤于问,乐于练。

2.   清晰的知识结构,根据应用经验采用最优化授课模式。

3.   内容充沛、详略得当,前后呼应。

4.   讲师资历丰富,具有丰富的实践经验。

5.   知识讲授+贴身案例+场景故事+互动讨论+现场演练+落地跟踪

【课程对象】相关人员

【课程时长】5天(6小时/天)

【课程大纲】

第1章 常见漏洞原理及利用

  1. 业务逻辑漏洞
  2. 概念
  3. 分类
  4. 验证码漏洞
  1. 弱口令
  2. 暴力破解
  3. 客户端验证
  4. 任意密码重置
  1. 越权访问
  1. 水平越权
  2. 垂直越权
  1. 交易漏洞
  1. 参数篡改
  2. 重放攻击
  3. 流程漏洞
  1. 其他漏洞

短信炸弹

  1. 编辑器漏洞
  2. WAF防火墙绕过技术
  3. 漏洞挖掘思路
  1. 暴力破解漏洞挖掘
  2. 绕过验证漏洞挖掘
  3. 越权访问漏洞挖掘
  4. 交易篡改漏洞挖掘
  5. 漏洞网站
  6. 交易篡改漏洞挖掘
  1. 资产探测
  2. 子域名收集
  3. 相关域名收集
  4. 蜜罐识别技术
  5. 简介
  6. 分类
  7. 隐藏技术
  8. 识别技术
  9. HFish
  10. 防钓鱼
  11. 查验“可信网站”
  12. 核对网站域名
  13. 比较网站内容
  14. 查询网站备案
  15. 查看安全证书
  16. 防社工
  17. 伪造官网或伪造重要系统网站
  18. 定向或群发钓鱼邮件
  19. QQ 群、微信群散发钓鱼网址、钓鱼二维码
  20. 常见技战法攻击路线
  21. XSS - 跨站脚本攻击
  22. CSRF - 跨站请求伪造
  23. SQL注入攻击
  24. Dos - 拒绝服务攻击

第2章 攻防实战技巧

  1. 横向渗透
  2. 系统漏洞
  3. 流量监听
  1. 服务连接密码
  2. 网站登录密码
  3. 敏感数据
  1. ARP欺骗
  2. 服务密码攻击
  3. 纵向渗透
  4. 匿名访问
  5. 进入后台
  6. 拿到webshell
  7. 最终拿到系统权限
  8. 木马制作与混淆
  9. 简单exe木马
  10. 木马捆绑
  11. 手机apk木马
  12. 钓鱼攻击实践
  13. 钓鱼形势分析
  14. 钓鱼原理分析
  15. URL编码结合钓鱼技术
  16. Web漏洞结合钓鱼技术
  17. 伪造Email地址结合钓鱼技术
  18. 浏览器漏洞结合钓鱼技术
  19. 如何防范钓鱼攻击
  20. 权限维持
  21. 修改注册表建立隐藏用户
  22. shift后门
  23. 镜像劫持
  24. 溯源分析
  25. 攻击机溯源技术
  1. 基于日志的溯源
  2. 路由输入调试技术
  3. 可控洪泛技术
  4. 基于包数据修改追溯技术
  1. 分析模型
  1. 杀伤链(Kill Kain)模型
  2. 钻石(Diamond)模型
  1. 关联分析方法
  1. 文档类
  2. 行为分析
  3. 可执行文件相似性分析
  1. 清除日志方式
  2. 攻击反制技术
  3. 蜜罐
  1. 放置高交互蜜罐
  2. 放置多个容易被发现的蜜罐
  3. 在蜜罐中使用JSONP探针
  4. 蜜罐挂马
  1. 信息干扰
  2. 反击思路
  1. 反制钓鱼页面
  2. 反制钓鱼邮件
  3. 反制攻击工具
  4. 反制XSS盲打
  5. 利用winrar漏洞
  6. 利用openvpn客户端配置文件后门进行反制
  7. 反制coablt strike
  8. 反制dnslog与httplog

第3章 APP实战攻防

  1. 安卓常见漏洞
  2. APK破解
  3. 不安全的用户数据存储
  4. 任意备份漏洞
  5. 不安全的数据传输
  6. 不安全的加密算法
  7. 组件导出拒绝服务漏洞
  8. APK的破解
  9. apk篡改(二次打包与重签名)
  10. 反编译(dex反编译、so反编译)
  11. 动态调试(java层动态调试、native层动态调试)
  12. 动态注入(java层动态注入、native层态注入)
  13. IOS漏洞
  14. 无法根治的锁屏漏洞
  15. 被删短信死而复生
  16. 魔性的阿拉伯字符漏洞,可致程序崩溃
  17. 不越狱设备也可被监控
  18. 通过WiFi热点发动攻击
  19. 组件安全
  20. 操作系统windows|linux
  1. web容器Apache|Tomcat|Nginx|IIS
  2. 中间件php|java|python|perl
  3. 数据库MySQL|oracle|SQL Server|Access|Redis
  4. 其他组件phpStudy|weblogic|JBoss
  1. 关注的问题
  1. 组件与漏洞名称
  2. 影响版本
  3. 漏洞的检测
  4. 漏洞的复现
  5. 漏洞的利用(漏洞场景.工具)
  6. 修复方案
  1. Apache解析漏洞
  2. SDK的安全问题
  3. 恶意行为
  4. 漏洞
  5. AppLovin的恶意威胁
  6. AppLovin漏洞剖析
  7. 反调试
  8. Ptrace
  9. Sysctl
  10. Syscall
  11. Arm
  12. SIGSTOP
  13. 反反调试(Tweak)

第4章 二进制攻防

  1. 二进制漏洞挖掘技术实战
  2. 前言
  3. 漏洞挖掘方法
  4. 手动法漏洞挖掘
  5. 通用FUZZ法进行漏洞挖掘
  6. 智能FUZZ法进行漏洞挖掘
  7. 格式化字符串漏洞
  8. 漏洞产生原理
  9. 漏洞利用
  1. 泄露任意地址内容
  2. 修改任意地址值
  1. 栈溢出漏洞及栈溢出攻击
  2. 栈溢出的原因
  3. 栈溢出漏洞的防护
  4. GCC 中使用 stack canary 技术的堆栈保护
  5. 堆溢出
  6. 堆溢出原理
  7. 堆溢出漏洞
  8. 堆溢出处理

刘晖老师的其他课程

• 刘晖:网络安全实战攻防技术培训
【课程特色】1.   课上采用案例式教学,通俗易懂,课下一对一辅导强化训练,学与练交叉进行强化记忆,你所要做的就是认真听,勤于问,乐于练。2.   清晰的知识结构,根据应用经验采用最优化授课模式。3.   内容充沛、详略得当,前后呼应。4.   讲师资历丰富,具有丰富的实践经验。5.   知识讲授+贴身案例+场景故事+互动讨论+现场演练+落地跟踪【课程对象】相关人员【课程时长】5天(6小时/天)【课程大纲】第1章 常见漏洞原理及利用业务逻辑漏洞概念分类验证码漏洞弱口令暴力破解客户端验证任意密码重置越权访问水平越权垂直越权交易漏洞参数篡改重放攻击流程漏洞其他漏洞短信炸弹编辑器漏洞WAF防火墙绕过技术漏洞挖掘思路暴力破解漏洞挖掘绕过验证漏洞挖掘越权访问漏洞挖掘交易篡改漏洞挖掘漏洞网站交易篡改漏洞挖掘资产探测子域名收集相关域名收集蜜罐识别技术简介分类隐藏技术识别技术HFish防钓鱼查验“可信网站”核对网站域名比较网站内容查询网站备案查看安全证书防社工伪造官网或伪造重要系统网站定向或群发钓鱼邮件QQ 群、微信群散发钓鱼网址、钓鱼二维码常见技战法攻击路线XSS - 跨站脚本攻击CSRF - 跨站请求伪造SQL注入攻击Dos - 拒绝服务攻击第2章 攻防实战技巧横向渗透系统漏洞流量监听服务连接密码网站登录密码敏感数据ARP欺骗服务密码攻击纵向渗透匿名访问进入后台拿到webshell最终拿到系统权限木马制作与混淆简单exe木马木马捆绑手机apk木马钓鱼攻击实践钓鱼形势分析钓鱼原理分析URL编码结合钓鱼技术Web漏洞结合钓鱼技术伪造Email地址结合钓鱼技术浏览器漏洞结合钓鱼技术如何防范钓鱼攻击权限维持修改注册表建立隐藏用户shift后门镜像劫持溯源分析攻击机溯源技术基于日志的溯源路由输入调试技术可控洪泛技术基于包数据修改追溯技术分析模型杀伤链(Kill Kain)模型钻石(Diamond)模型关联分析方法文档类行为分析可执行文件相似性分析清除日志方式攻击反制技术蜜罐放置高交互蜜罐放置多个容易被发现的蜜罐在蜜罐中使用JSONP探针蜜罐挂马信息干扰反击思路反制钓鱼页面反制钓鱼邮件反制攻击工具反制XSS盲打利用winrar漏洞利用openvpn客户端配置文件后门进行反制反制coablt strike反制dnslog与httplog第3章 APP实战攻防安卓常见漏洞APK破解不安全的用户数据存储任意备份漏洞不安全的数据传输不安全的加密算法组件导出拒绝服务漏洞APK的破解apk篡改(二次打包与重签名)反编译(dex反编译、so反编译)动态调试(java层动态调试、native层动态调试)动态注入(java层动态注入、native层态注入)IOS漏洞无法根治的锁屏漏洞被删短信死而复生魔性的阿拉伯字符漏洞,可致程序崩溃不越狱设备也可被监控通过WiFi热点发动攻击组件安全操作系统windows|linuxweb容器Apache|Tomcat|Nginx|IIS中间件php|java|python|perl数据库MySQL|oracle|SQL Server|Access|Redis其他组件phpStudy|weblogic|JBoss关注的问题组件与漏洞名称影响版本漏洞的检测漏洞的复现漏洞的利用(漏洞场景.工具)修复方案Apache解析漏洞SDK的安全问题恶意行为漏洞AppLovin的恶意威胁AppLovin漏洞剖析反调试PtraceSysctlSyscallArmSIGSTOP反反调试(Tweak)第4章 二进制攻防二进制漏洞挖掘技术实战前言漏洞挖掘方法手动法漏洞挖掘通用FUZZ法进行漏洞挖掘智能FUZZ法进行漏洞挖掘格式化字符串漏洞漏洞产生原理漏洞利用泄露任意地址内容修改任意地址值栈溢出漏洞及栈溢出攻击栈溢出的原因栈溢出漏洞的防护GCC 中使用 stack canary 技术的堆栈保护堆溢出堆溢出原理堆溢出漏洞堆溢出处理
• 刘晖:《网络安全基础知识培训》
课程目标:                                                        掌握网络安全的基础知识掌握网络信息安全的发展趋势通过安全事故的分析,提升网络安全意识课程大纲:                                              一、信息安全基础知识1、信息安全发展的几个阶段;2、认识信息安全从初级的通信保密阶段到成为复杂系统安全的过程;3、标志事件进行简单介绍;4、信息安全的内涵;5、信息系统安全保障体系的基本内容;6、等级保护有关背景情况介绍。二、信息安全涉及的一些技术(简介)1、通信和计算机网络面临的安全威胁分析;2、对抗威胁所需要涉及的技术进行介绍和分析;三、信息安全的发展趋势1、网络安全的现状;2、现有的网络安全技术;3、分析现有网络安全技术的缺陷;4、网络安全面临的主要问题及可能的解决方案;5、网络信息安全的发展趋势。四、信息安全事故的一些案例1、网络及信息安全的重要性;2、案例分析-信息安全事故;3、安全的网络和系统所产生的后果(经济损失、名誉、信誉受损等)。五、识别大数据与数据安全1、什么是大数据?2、大数据能做什么?3、大数据特征与特点4、数据安全认识5、数据安全涉及范围技术法律监管社会治理6、数据安全思考从“大安全”视角审视数据安全数据安全成为与实体经济融合重要影响因素数据应用过程中,数据流动是常态数据共享是刚需便利化服务与个人信息权利的两难抉择案例解析:某人力集团数泄漏六、数据安全管理1、数据安全防护思路与体系2、数据安全管理组织结构3、数据安全管理策略4、数据生命周期与防护措施七、数据安全问题与挑战1、数据安全问题与挑战  数据价值与存储模式成为风险重点  数据采集环节成为影响决策分析的新风险点  数据处理过程中的机密性保障问题  数据流动路径的复杂化2、个人隐私安全挑战  大数据超强分析为个人隐私技术带来严峻挑战  隐私保护技术难以适应大数据的非结构化数据库八、商业应用场景中数据安全策略1、什么是应用场景?2、数据应用场景3、数据商业场景解析及数据安全风险4、商业场景数据安全策略九、数据安全技术未来发展1、数据安全综合防御体系2、攻防结合,强化大数据平台安全保护3、加强关键环节和关键技术,完善安全体系4、兼顾数据利用与隐私保护双重需求5、构建三方安全检测评估体系十、数据资产管理策略1、什么是数据资产?2、数据资产管理概述3、数据资产管理定位4、数据资产管理 
• 刘晖:运营商的前世今生以及未来转型
【课程收益】1、掌握运营商发展动态;2、了解转型应对策略【课程特色】1.   课上采用案例式教学,通俗易懂,课下一对一辅导强化训练,学与练交叉进行强化记忆,你所要做的就是认真听,勤于问,乐于练。2.   清晰的知识结构,根据应用经验采用最优化授课模式。3.   内容充沛、详略得当,前后呼应。4.   讲师资历丰富,具有丰富的实践经验。5.   知识讲授+贴身案例+场景故事+互动讨论+现场演练+落地跟踪【课程时间】6小时【课程大纲】一、运营商的前世运营商的成立时间运营商的三者之间的相互关系二、运营商的今生行业变革与产业竞争不断加剧语音收入将不再被运营商视为支撑性收入来源运营商收入利润发生新变化流量收入开始占据主要地位取消流量漫游费&流量降费30%的冲击和影响从运营商近年发展数据,看电信运营面临的严峻形势5G能否通过技术进步给运营商带来高回报和高价值红利讨论:我们对电信运营发展形势的研判三、运营商的未来转型运营商转型迫在眉睫通信运营商生态体系已经显露严重恶化端倪从移动运营产业演进看运营发展道路国内外运营商正在走的转型道路移动互联网的冲击产业互联开辟新时代工业4.0推动产业创新与变革OTT时代确立了新的竞争关系讨论:当前我国运营商转型中面临的困境提升数字化服务水平,是新时代战略转型成功的关键数字化服务成为各运营商战略转型的关键核心运营服务要向广度和深度发展准确定义、深刻理解数字化服务的内含数字化服务对比传统业务,完全不同的差异和特点数字化服务面对的严峻竞争环境电信运营向数字化服务转型的主要障碍电信运营中的互联网思维从某商的和彩云业务发展困境看互联网思维独孤九剑互联网思维电信运营中的互联网思维苹果APP Store打造精典互联网思维口碑营销共享经济讨论:互联网思维在数字化服务转型中能发挥多大的作用?电信运营商战略转型之路智慧政企数字家庭融合通信智能物联网窄带物联网云计算大数据软件化与虚拟化开放平台智能管道流量经营5G未来发展5G演进历程国家对5G发展的定位中国制定5G发展标准5G技术标准最新进展及长期演进道路5G的切片技术5G的边缘计算大规模天线技术非正交多址接入技术双工技术超密集组网技术D2D高频段信号传输技术灵活频谱共享技术新型传输波型技术先进编码与调制技术新型网络架构技术能效提升技术5G主要无线技术特征应用场景与业务实例4G+介绍人工智能助力电信运营产业升级人工智能已获得广泛应用电信运营领域应用也在突飞猛进一个趣味的问题引出机器学习图灵的贡献深蓝带来的思考对人工智能的认识人工智能核心要素机器学习AlphaGo获得成功深度学习深度学习应用场景国外电信运营商对人工智能应用的预期新的超越AlphaGo—Zero强化学习强化学习应用场景迁移学习人工智能到到底有多大能力?科幻电影展示未来能力人工智能发展纵览机器学习方法总结云计算、大数据与人工智能之间的相互关系例:中国移动人工智能规范例:中移研究院人工智能发展现状例:中移苏研人工智能发展现状人工智能产业发展电信运营商在人工智能中的角色定位我国三大电信运营商人工智能发展策略电信运营商在人工智能方面的优势电信运营商实践人工智能的痛点思考:人工智能能否支撑起电信运营未来发展的重任?

添加企业微信

1V1服务,高效匹配老师
欢迎各种培训合作扫码联系,我们将竭诚为您服务