全方位網(wǎng)絡(luò)安全攻防實戰(zhàn)課程

實戰(zhàn)與應用類培訓

課程簡章2024-07-31小艾老師

課程概述

本課程涵蓋從基礎(chǔ)到高級的網(wǎng)絡(luò)安全技能，包括WEB安全漏洞分析、逆向工程技術(shù)、二進制漏洞利用技術(shù)（Pwn）、各類數(shù)據(jù)隱寫技術(shù)和密碼學的應用。課程內(nèi)容結(jié)合理論與實戰(zhàn)，通過分析真實的CTF（Capture The Flag）賽事題目和案例，幫助學員掌握如何識別、利用和防御各種安全漏洞。

課程對象

網(wǎng)絡(luò)安全愛好者、專業(yè)學生以及相關(guān)專業(yè)的在職人員。
準備參與網(wǎng)絡(luò)安全競賽的選手。
欲提升個人或團隊在網(wǎng)絡(luò)安全方面能力的企業(yè)和組織。

課程目標

掌握WEB安全、逆向工程、二進制漏洞利用等領(lǐng)域的核心技術(shù)。
通過動手實踐，提高解決實際問題的能力。
理解并應用高級網(wǎng)絡(luò)安全技術(shù)，準備參與國際級的網(wǎng)絡(luò)安全競賽。

課程收益

通過參加本課程，學員將：

獲得由行業(yè)資深專家授課的實踐經(jīng)驗。
掌握最新的網(wǎng)絡(luò)安全攻防技術(shù)。
增強解決復雜安全挑戰(zhàn)的能力。
提升職業(yè)競爭力和就業(yè)前景。

課程時長12天

課程大綱

方向	分類	知識點	課時
Web	WEB常見漏洞拔高	復習WEB常見漏洞，溫習原理；講解文件上傳的各類trick(裸文件，無文件等)；講解SSRF的常見繞過手法；講解SSTI繞過，沙箱逃逸；講解原生類反序列化，Incomplete_Class等；講解XSS和CSRF實戰(zhàn)例題。	3天
	XSS/CSRF漏洞講解與實操	講解大型賽事，例如國際賽題中XSS，CSRF題目實例，實操相關(guān)賽題，了解XSS和CSRF漏洞的本質(zhì)區(qū)別和相關(guān)攻擊手法，學習一些前端安全知識
	Golang賽題講解與實操	介紹常見Golang-WEB考點，從源碼/程序去分析賽題，挖掘可利用點，并對常見考點進行實操練習
	特殊考點總結(jié)分析講解與實操	環(huán)境變量注入利用，中間件，數(shù)據(jù)庫等常見考點漏洞
AWDP-Web	結(jié)合CTF賽事講解AWDP-WEB	結(jié)合CTF賽事的賽題特點，分析和講解AWDP-WEB的賽題類型，常見漏洞，攻擊手法，和修復手法。	2天
	AWDP-WEB賽制分析和賽前準備	不同賽制下的修復思路，一些賽前的準備，腳本以及工具講解
	AWDP-WEB賽事原題分析講解和經(jīng)驗分享	對國內(nèi)AWDP賽事的經(jīng)典賽題進行分析講解，分享如何分析定位賽題漏洞，如何挖掘攻擊和修復的思路
Re	靜態(tài)分析與IDA Pro使用	介紹逆向工程中的靜態(tài)分析方法，講解IDA Pro的使用技巧, 函數(shù)查找, 字符串查找, 函數(shù)名以及變量名修改, 反編譯優(yōu)化之類型修改、函數(shù)定義修改，交叉引用，結(jié)構(gòu)體定義，指令和數(shù)據(jù)轉(zhuǎn)換，斷點表查看等	2天
	系統(tǒng)程序靜態(tài)分析自動化	patch memory，read_dbg_byte，get_reg_value，read_dbg_mem，讀取xmm寄存器，反匯編相關(guān)的函數(shù)，獲取指定地址所有交叉引用，Appcall等
	花指令處理以及IDA反編譯失敗問題解決	幾種常見的花指令處理方法，IDA positive sp value，跳轉(zhuǎn)表恢復
	SMC技術(shù)原理及其對抗	SMC介紹、SMC靜態(tài)及動態(tài)對抗方法
	動態(tài)分析和調(diào)試基礎(chǔ)	講解逆向工程中的動態(tài)調(diào)試和分析方法，學習windows、linux環(huán)境下的調(diào)試方法, 學會調(diào)試windows, linux程序
	逆向程序內(nèi)算法--level0	算法分類及處理方法概述、簡單可逆算法處理、單字節(jié)爆破、z3處理算法
	逆向程序內(nèi)算法--level1	Base64標準加密、魔改及處理；RC4標準加密、魔改及處理；TEA一類標準加密、魔改及處理；AES一類標準加密、魔改及處理；變種密碼算法分析及處理
	程序中迷宮類算法處理	程序內(nèi)迷宮算法介紹、該算法的應用，手動解迷宮技巧及DFS,BFS地圖搜索算法實現(xiàn)解迷宮自動化
	軟件保護之加殼	殼的介紹與分類；如何判斷是否加殼以及是什么殼；脫殼方法介紹及教導
	軟件保護之反調(diào)試	反調(diào)試介紹、windows/linux下常見的反調(diào)試及其處理
Pwn	棧溢出Stack Overflow	介紹常見的棧溢出保護機制，講解ret2text、ret2shellcode、ret2libc等ROP、ROPgadget工具的使用	1天
	格式化字符串漏洞	講解格式化字符串漏洞的原理和利用方式（leak memory、繞過canary等）
	堆Heap相關(guān)利用	介紹堆的機制，講解CTF題目中常見的堆相關(guān)利用手法
AWDP-Pwn	CTF常見Pwn題解題思路與技巧	歸納總結(jié)CTF比賽中常見的二進制題目類型及其對應的解題思路與技巧	1天
	介紹AWDP的賽制規(guī)則及考察點	介紹AWDP的賽制規(guī)則及考察點
	AWDP-Pwn攻擊	講解AWDP-Pwn中的攻擊
	AWDP-Pwn防御	棧溢出漏洞防御技巧、格式化字符串漏洞防御技巧、UAF 漏洞防御技巧、Double Free防御機巧、沙箱通防腳本等防御技巧
	擴展	AWDP-Pwn經(jīng)驗分享
Misc	隱寫--png圖像隱寫	png寬高隱寫，lsb隱寫	2天
	隱寫--jpg圖像隱寫	jsteg，jphide，outguess，f5，jphs，silenteye等隱寫的鑒別與解密
	隱寫--gif圖像隱寫	空間軸隱寫，時間軸隱寫
	隱寫--音頻隱寫	mp3stego隱寫，波形隱寫，頻譜隱寫，lsb音頻隱寫
	隱寫--其他隱寫	pyc隱寫等其他隱寫
	壓縮包--zip	偽加密檢測與修復，壓縮包字典爆破，明文攻擊，掩碼攻擊，crc32攻擊等
	壓縮包--rar	偽加密檢測與修復，壓縮包字典爆破，明文攻擊，掩碼攻擊，crc32攻擊以及ntfs流隱寫
	流量分析	wireshark使用指南、流量分析做題技巧、冰蝎、蟻劍流量分析
	內(nèi)存取證	內(nèi)存取證常用手法及案例分析
Crypto	對稱密碼及常用攻擊手法	AES、DES等常見對稱加密算法，Padding Oracle Attack、CBC字節(jié)翻轉(zhuǎn)攻擊等常見攻擊手法	1天
	RSA	RSA各種攻擊手法及模板歸納
	Ecc橢圓加密	Ecc橢圓加密原理及常見攻擊手法