你产生过职场危机感么?

技术难突破

技术开始出现瓶颈,担心能力枯竭而暗自发愁,却不知究竟该选择哪个方向去努力?

待遇难提高

工作几年后,岗位、薪资趋于稳定,看着同事还在晋升,自己却止步不前,心中有些着急

自学难扎实

各种书,视频看得不少,但真到应用时心里却开始发虚,因为没有实际的项目经验

时间难协调

平时经常加班,家庭又有收入压力,很难抽身参加全日制学习,快速充电是你最想要的

为什么要学习安全技术?

提高开发水平

如今,高级开发工程师不仅要能够快速编写高性能代码、还要确保代码可以顺利通过安全扫描,降低潜在安全风险

获得升职加薪

在现有技术的基础上,额外掌握安全技能,提高自身竞争力,许多企业不惜高价找寻安全人才,但市场仍需多供少

抢占技术风口

发达国家均已将安全列为国家战略,习主席亲自挂帅推动国内网络与信息安全行业发展,抢先入行,提早成为专家

保障软件安全

测试工程师要掌握自动化安全扫描和人工渗透性测试,对软件进行全面检测,挖掘系统中存在的安全风险、漏洞等问题

你将学到哪些关键技术?

数据库SQL注入

的防范技术

会话Session

安全管理技术

网站挂马及钓鱼

的分析与防范

如何给系统做

安全评估

如何编写安全的业务代

码(具体项目演习)

安全/渗透性攻防演习

(被传统测试遗漏的)

Burpsuite

Metasploit等

渗透测试工具分析

APP漏洞挖掘

Hook技术与动态调试

移动端逆向安全

你将获得什么课程内容?

防御攻击手段
安全评估方法
常见工具使用
经典项目演练

你适合这门课程吗?

开发工程师

高级工程师或开发管理者不只考虑追求程序的功能与性能,还需要了解如何编写具备良好安全性的代码

测试工程师

优秀的测试工程师不仅要保障程序的正确性,还应该具备检查程序安全漏洞的能力,做到防患于未然

1-3年的互联网人

对安全感兴趣,总听到黑客、木马、撞库等名词,希望能深入了解安全行业的相关技术知识,提高自己

谁来讲课?

马老师

前瑞星攻防专家

前新东方、人人贷安全负责人

北京市“网安启明星”教官

10多年程序开发与管理经验,精通信息级安全、渗透测试、安全组件编写,多次组织公司云计算安全防护大会,制定Web级安全规范。

如何学习?

现场授课 + 同步直播

周末休息日授课,不影响工作,适合在职人员提高,课后提供录屏,不用担心临时有事无法参加课程或直播

丰富练习

以培养工作技能为导向,通过大量的练习案例与课后作业,课前点评指导,达到快速上手,扎实掌握的目的

群内互动

结识志同道合的小伙伴,学习中遇到问题随时在群中讨论,相互提高,老师协助解答,确保及时解决疑问

课程大纲

现场+直播同步授课,15天学会

第一阶段(信息程序技术)

HTTP协议

本章深入讲解HTTP协议,对HTTP进行抓包,分析,学习Web安全,HTTP协议为必备的底层知识

Web系统相关技术

深入理解Web架构,掌握Web系统的相关技术

编码方案

了解常见的编码方案

前端技术

掌握HTML常用标签、JS及XML

第二阶段(Web安全)

Web客户端浏览器安全

掌握浏览器安全功能

同源策略

加深理解同源策略,把握浏览器安全的本质

XSS

XSS技术原理,DOM,反射,储存XSS的表现形式等,XSS进阶 深入挖掘XSS漏洞,并掌握一些常见的XSS Framework,蠕虫编写等技术

注入攻击

SQL注入的原理,如MySQL注入,Oracle注入,MSSQL注入等数据库注入,突破防火墙进行注入,比如编码绕过技术,以及 SQLMap、Pangolin 、Havij、JSql等工具的使用,了解其他注入攻击

文件上传漏洞

掌握常见的解析漏洞,上传漏洞原理,并可以突破某些上传限制

CSRF

理解CSRF攻击的原理及本质、掌握CSRF攻击技术及CSRF的防御

解析漏洞

常见逻辑漏洞挖掘思路,方法,及流程讲解

访问控制

掌握安全系统的核心,访问控制,了解常见的访问控制技术,垂直权限管理、基于角色的访问控制以及水平权限管理

目录遍历

理解目录遍历,常见的目录遍历攻击手段,获取系统文件及服务器的配置

身份认证

理解认证相关的安全问题,常见的认证手段,提高系统的安全强度

会话管理

了解Session的原理,掌握Session Fixation、Session保持攻击技术,围绕着Session产生的安全问题

敏感信息泄露

了解Web成因、分类及利用Web漏洞,通过漏洞获取敏感信息

重定向

理解重定向,重定向的成因,攻击方式及危害,利用实际案例模拟重定向攻击

加解密弱点

了解与加密算法相关的安全问题,掌握常见的加密算法,掌握加解密的弱点

DDOS拒绝服务

理解DDOS拒绝服务攻击手段,掌握常见的拒绝服务攻击手段

网页挂马

理解网页挂马,掌握网页挂马的工作原理、常见方式以及执行方式

网络钓鱼

理解网络钓鱼,了解网络钓鱼的常用手段及防范

Web服务配置安全

掌握Web服务的常用配置,掌握Web服务的安全策略及对应配置

典型安全功能

了解常见的典型的安全功能,提高Web系统的安全性

安全开发流程(SDL)

掌握安全开发流程,提高Web系统的安全性

安全运营

掌握安全运营的常用手段,提高Web系统的安全性

第三阶段(安全评估)

客户端绕过

理解安全评估、客户端绕过,掌握对Web系统进行安全评估的常用手段,绕过客户端验证与安全策略

攻击验证机制

掌握通过攻击验证的含义、内容,通过攻击验证评估Web系统的安全性

攻击会话管理

掌握攻击会话的含义、内容,通过攻击会话评估Web系统的安全性

攻击访问控制

掌握攻击访问控制的含义,内容,通过攻击访问控制评估Web系统的安全性

查找源代码漏洞

通过工具对Web程序进行代码扫描与分析,查找系统源代码中的漏洞

攻击应用程序逻辑

了解应用程序的逻辑,利用程序逻辑对Web程序达成攻击

攻击数据存储

了解数据存储,通过冲击储存对Web程序进行安全评估

攻击主机

了解主机攻击的常用手段及技术,通过攻击主机对Web程序进行安全评估

攻击服务

了解服务攻击的常用手段及技术,通过攻击服务对Web程序进行安全评估

第四阶段(hacker工具包利用)

Fiddler

了解HTTP抓包工具的原理,查看进出Fiddler的数据

Burp

掌握Burp应用程序的攻击平台的使用,可以使用Burp对Web 应用程序进行攻击

SQLmap

掌握SQLmap的使用,可以用SQLmap来检测SQL漏洞,进行SQL注入

Appscan

掌握Appscan的使用,利用Appscan对网址进行安全扫描

Nmap

掌握Nmap工具的使用,用Nmap进行操作系统的漏洞探测及扫描,是一款网络扫描和主机检测的非常有用的工具。Nmap是不局限于仅仅收集信息和枚举,同时可以用来作为一个漏洞探测器或安全扫描器。它可以适用于Winodws,Linux,Mac等操作系统

Nessus

使用Nessus 进行端口及服务的扫描,以用户指定的格式(ASCII 文本、HTML 等)产生详细的输出报告,包括目标的脆弱点、怎样修补漏洞以防止黑客入侵及危险级别。

Metasploit

使用Metasploit进行安全漏洞检测,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。

第五阶段(攻防实验室)

入侵系统、盗窃信息、漏洞利用训练

搭建系统,运用所学的安全知识,对Web程序进行各类型安全攻击,通过实际项目实验,能将安全知识理解更加深刻,搞清楚实际项目中的安全测试流程与方法

学员评价

闫*炜 入职 奇* 360 安全工程师

报名前还担心能不能学会,开课发现零基础能接受,但的确很辛苦,课程只有15天,我却用了多几倍的业余时间在课后狂补基础,没想到毕业后进了安全行业的领头羊。

张*飚 入职 天*信 渗透性测试工程师

马老师讲课非常有趣,总能通过一些案例让我们最快的理解技术点,让我可以短时间就掌握了渗透性测试的相关技术,成功进入了安全行业。

张* 入职 娜*科技 安全工程师

我是做软件测试的,比较看好安全行业前景。马老师简直是我的偶像,一线安全企业都扫不出来的漏洞,他手工15分钟就发现了,我感觉能结识马老师就值学费了。

热门课程,限时优惠!

《 信息安全课 》
yen6888

√ 20种防御攻击手段 √ 9种安全评估方法

√ 7中常见工具使用  √ 4个经典项目演练

上课时间:每周六、日 9:00 - 17:00

限时优惠!

申请免费试听

同时可享报名费

500 抵 yen1000

最后:

如果你对安全课程有兴趣、疑问或见解,可通过上方领取优惠的连接提交表单后添加老师微信,我们会将你拉入安全工程师的圈子,结交更多小伙伴。

冯老师

车老师