信息安全保障人员(CISAW)渗透测试方向有多少要学习什么内容呢?今天就给大家聊一下关于课程分析.希望对大家查。

　　渗透测试概述：渗透测试概念、流程与思路，渗透测试服务的基本介绍，网络安全法与渗透测试职业道德规范。Web 应用程序常见的编码方式。 HTTP 协议报文格式、请求方法、状态码。本地攻击环境搭建的方法。BurpSuite 与 Firefox 插件的使用。

　　信息收集：信息收集工具使用，包括 Google Hacking、网络空间搜索引擎、Nmap。 域名信息收集的方法与手段。服务器信息收集的方法与手段。 Web 应用信息收集收集的方法与手段。

　　漏洞扫描：漏洞扫描流程与方法，漏洞扫描工具的基本使用，包括 AWVS、Nessus。

　　渗透测试技术：WebShell 原理与 WebShell 管理工具基本使用。文件上传漏洞的原理、漏洞利用、防护和绕过的手段与方法。SS 漏洞的原理、漏洞利用、防护的手段与方法。CSRF 漏洞的原理、漏洞利用、防护的手段与方法。 SQL 漏洞的原理、漏洞利用、防护的手段与方法。SQLMAP 工具的基本使用。代码执行漏洞的原理、漏洞利用、防护的手段与方法。命令执行漏洞的原理、漏洞利用、防护的手段与方法。反序列化漏洞的原理、漏洞利用、防护的手段与方法。对常见身份认证场景的攻击手段与方法。越权的原理、漏洞利用的手段与方法。逻辑漏洞常见场景的漏洞挖掘、利用的手段与方法。

　　SSRF、XXE、文件包含等漏洞的原理、漏洞利用、防护的手段与方法。常见中间件漏洞利用及检测方法。 主机与数据库漏洞利用及检测方法。

　　高级渗透测试技术：WebShell 查杀、免杀技术，WAF 鉴别与探测。AF 绕过思路与方法。 反弹 Shell 方法与手段。权限提升的方法与手段。

　　这就是CISAW渗透测试相关的内容，希望对大家有所帮助。

       CISAW相关问题请咨询：客服按钮