文档介绍：网络攻防培训方案一、学****目的网络安全目的:保护计算机、网络系统的硬件、软件及其系统中的数据,使之不因偶然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续可靠正常地运行,使网络服务不中断。本次学****目的:希望通过本次学****了解一些最基本的网络攻击的原理与技术,熟悉使用一些主流的攻击工具,并能够针对这些基本的攻击发现安全漏洞、找到应对措施。二、培训原则为了强化培训的实际效果,培训原则是:联系实际、学以致用。注重突出培训工作的操作性、实用性和有序性。三、培训对象培训对象是:信息学院大一、大二对网络安全及攻防有兴趣的学生。四、对象来源信息学院大一、大二学生。五、学****方式为了使培训目的和培训效果实现统一,主要采取的方式有讲授法、演示法、研讨法和案例研究法等。坦白说,对于培训我们没有任何经验,我们也是抱着互相学****的态度,所以难免会有一些不如意,非常欢迎大家能够指出缺点和给出意见。我想,除了培训本身之外,更重要的是给大家提供了一个交流的机会,激起大家学****信息安全技术的热情。1六、学****内容一些常见的技术性手段:WEB 安全介绍-常见漏洞p1、注入(SQL、系统命令)p2、XSS 跨站p3、上传p4、源代码泄露p5、网站编辑器(FCK editor、Eweb editor)p6、数据库备份(网站后台)WEB 安全介绍-WEB ***pWEB shell 程序:网站***pASP、PHP 、ASPX、JSP、PERL、Pythonp大马:phpspy、aspxspy、jspspyp小马:功能单一,只有上传功能。p一句话木马:中国菜刀一些工具介绍•Burp Suite:web 安全漏洞检测、利用工具。•Web Scarab :web 安全漏洞检测、利用工具。•Paros :web 安全漏洞检测、利用工具。•Wire shark:免费的抓包、嗅探工具。•Open SSL:开源的 SSL 加密技术软件包。•JDK:java 程序的开发工具包。•JRE:java 程序的运行环境。•WEB ***:WVS、appscan、JSKY、webinspect•SQL 注入工具:Pangolin、啊 D、明小子、HDSI ……渗透技巧-流程p1、搜索目标相关信息(Google hack、查看网页源文件、社会工程学)2p2、***、端口扫描工具、旁注p3、漏洞利用工具、手工利用漏洞p4、获取权限、系统权限(内网)p5、权限提升p6、内网、C 段网络渗透(网络嗅探、ARP 欺骗)渗透技巧p旁注:从旁注入p同一台服务器的其他网站来入侵目标网站、p同一个 C 段服务器p注入:pSQL 注入:有明显的错误信息、注入结果。pSQL 盲注:没有、没有明显的注入结果的显示、p系统命令注入、 p渗透技巧-注入类型pSQL 注入类型:p整形:URL 地址后面p字符型:URL 地址后面p搜索型:网站的搜索框pHTTP 提交方法:pGet 注入:URL 地址后面pPost 注入:表单、搜索框pCookie 注入:cookie 文件pHead、pu