為什么要學習安全技術?

提高開發水平

如今,高級開發工程師不僅要能夠快速編寫高性能代碼、還要確保代碼可以順利通過安全掃描,降低潛在安全風險

獲得升職加薪

在現有技術的基礎上,額外掌握安全技能,提高自身競爭力,許多企業不惜高價找尋安全人才,但市場仍需多供少

搶占技術風口

發達國家均已將安全列為國家戰略,習主席親自掛帥推動國內網絡與信息安全行業發展,搶先入行,提早成為專家

保障軟件安全

測試工程師要掌握自動化安全掃描和人工滲透性測試,對軟件進行全面檢測,挖掘系統中存在的安全風險、漏洞等問題

你將學到哪些關鍵技術?

數據庫SQL注入

的防范技術

會話Session

安全管理技術

網站掛馬及釣魚

的分析與防范

如何給系統做

安全評估

如何編寫安全的業務代

碼(具體項目演習)

安全/滲透性攻防演習

(被傳統測試遺漏的)

Burpsuite

Metasploit等

滲透測試工具分析

APP漏洞挖掘

Hook技術與動態調試

移動端逆向安全

你將獲得什么課程內容?

防御攻擊手段
安全評估方法
常見工具使用
經典項目演練

你適合這門課程嗎?

開發工程師

高級工程師或開發管理者不只考慮追求程序的功能與性能,還需要了解如何編寫具備良好安全性的代碼

測試工程師

優秀的測試工程師不僅要保障程序的正確性,還應該具備檢查程序安全漏洞的能力,做到防患于未然

1-3年的互聯網人

對安全感興趣,總聽到黑客、木馬、撞庫等名詞,希望能深入了解安全行業的相關技術知識,提高自己

誰來講課?

馬老師

前瑞星攻防專家

前新東方、人人貸安全負責人

北京市“網安啟明星”教官

10多年程序開發與管理經驗,精通信息級安全、滲透測試、安全組件編寫,多次組織公司云計算安全防護大會,制定Web級安全規范。

課程大綱

第一階段(網絡安全)

信息安全基礎

信息安全的常見方向,所需要掌握的技術以及應用領域

網絡基礎

網絡概述、Vmware、IP地址的概述與應用、DOS命令與批處理

Windows服務安全

用戶管理、破解系統用戶密碼、NTFS權限、文件服務器、DNS服務、DHCP服務、IIS服務、活動目錄、監控管理、組策略、安全策略

Windows安全基線

Windows server2003安全配置基線

階段綜合項目一

階段綜合項目一

以太網交換與路由技術

OSI協議簇、交換機的基本原理與配置、IP包頭分析與靜態路有、分析ARP攻擊與欺騙、虛擬局域網VLAN、單臂路由與DHCP

高級網絡技術

三層交換、ACL-1、ACL-2、網絡地址轉換、動態路由協議RIP、VPN遠程訪問

網絡安全基線

Cisco基礎網絡設備安全配置基線

安全設備防護

防火墻原理及部署方式、防火墻高級配置、IDS、WAF

階段綜合項目二

階段綜合項目二

第二階段(編程開發技術)

Web前端技術

掌握HTML語言,CSS樣式表,JavaScript基礎,XML及Xpath技術,為自動化測試打好基礎

python基礎篇

python開發環境搭建,順序程序設計、選擇結構程序設計、循環程序結構設計、字符串、函數的設計與使用,文件的使用,通過系統的編程技術學習,使學員深入掌握通用的編程技能

面向對象的程序設計

掌握面向對象的基本原則以及在編程實踐中的意義;掌握python面向對象編程基本實現原理及內存變化

python高手進階

異常處理、其他第三方擴展庫、正則表達式以及爬蟲

數據庫技術

展示業內主流的數據庫管理系統,了解數據庫基本原理,掌握數據庫基本操作

PHP

PHP基礎、PHP語法、PHP流程控制與數組、PHP代碼審計中常用函數、PHP操作mysql數據庫、PHP代碼審計(一)、PHP代碼審計(二)

第三階段(服務安全)

Linux安全運維

Linux操作系統介紹與安裝與目錄結構分析、Linux系統的基本操作與軟件安裝、Linux系統下用戶以及權限管理、網絡配置與日志服務器建立應急思路、建立php主頁解析以及主頁的訪問控制、Nginx服務都建立以及tomcat負載均衡、iptables包過濾與網絡地址轉換、實用型腳本案例

階段綜合項目三

XSS技術原理,DOM,反射,儲存XSS的表現形式等,XSS進階 深入挖掘XSS漏洞,并掌握一些常見的XSS Framework,蠕蟲編寫等技術

第四階段(滲透性測試)

web應用安全入門

作為web應用安全入門課程,主要讓學員了解漏洞是什么,什么是web應用安全

手工注入

SQL注入的原理,SQL注入漏洞的發現過程以及注入漏洞的防御

XSS跨站腳本攻擊

XSS技術原理,DOM,反射,儲存XSS的表現形式等,XSS進階 深入挖掘XSS漏洞

文件上傳/文件包含漏洞

掌握常見的解析漏洞,上傳漏洞原理,并可以突破某些上傳限制

CSRF跨站請求偽造

理解CSRF攻擊的原理及本質、掌握CSRF攻擊技術及CSRF的防御

命令注入

命令漏洞挖掘思路,方法,及流程講解

暴力破解

暴力破解的方式與手段

XXE漏洞

理解XXE漏洞,常見的XXE漏洞攻擊手段

SSRF漏洞

理解SSRF攻擊的原理及本質、掌握SSRF攻擊技術及SSRF的防御

寬字節注入

理解寬字節攻擊的原理及本質、掌握寬字節注入攻擊技術及寬字節注入的防御

越權漏洞

理解越權漏洞攻擊的原理及本質、掌握越權漏洞攻擊技術及越權漏洞的防御

重定向攻擊

理解重定向,重定向的成因,攻擊方式及危害,利用實際案例模擬重定向攻擊

eval注入

理解eval注入攻擊的原理及本質、掌握eval注入攻擊技術及eval注入的防御

目錄遍歷漏洞

理解目錄遍歷漏洞攻擊手段,掌握常見的目錄遍歷漏洞攻擊手段

攻防演練平臺

sqli lab黑客入侵、webgoat 平臺、網馬分析與解密 、打靶平臺-xss quiz 、信息收集、DDOS攻擊、HTTPS攻擊

hacker工具包利用

burpsuite 、AWVS、Appscan安全攻擊工具、kaili環境、SQLMAP、OWASP_ZAP、Nessus 、Metasploit

加密解密相關

加密解密相關以及請求響應小工具開發

滲透測試流程

了解滲透性測試流程

安全基線及web應用開發規范

了解安全基線及web應用開發規范

安全測試報告

掌握安全測試報告的編寫

第五階段(android安全課程大綱)

Android基礎

APP結構介紹與安全問題分析

APP安全測試環境搭建

Android模擬器及adb、drozer等入門講解

訪問控制安全分析

敏感組件安全、AndroidMenifest.xml文件安全檢索

資源控制安全

編碼反編譯安全、二次打包安全、鍵盤監控安全、簽名校驗安全

應用通信安全分析

URI數據泄露風險、X509 TrustManager信任證書風險、SSL Pinning通信風險

本地漏洞安全分析

本地SQL注入、文件遍歷漏洞、拒絕服務漏洞、任意資源文件篡改漏洞

APP業務流程安全分析

Burpsuite、adb、Xposed在Android安全測試中的使用

APP業務流程安全分析

注冊安全、登錄安全、找回密碼安全、越權等

學員評價

閆*煒 入職 奇* 360 安全工程師

報名前還擔心能不能學會,開課發現零基礎能接受,但的確很辛苦,課程只有15天,我卻用了多幾倍的業余時間在課后狂補基礎,沒想到畢業后進了安全行業的領頭羊。

張*飚 入職 天*信 滲透性測試工程師

馬老師講課非常有趣,總能通過一些案例讓我們最快的理解技術點,讓我可以短時間就掌握了滲透性測試的相關技術,成功進入了安全行業。

張* 入職 娜*科技 安全工程師

我是做軟件測試的,比較看好安全行業前景。馬老師簡直是我的偶像,一線安全企業都掃不出來的漏洞,他手工15分鐘就發現了,我感覺能結識馬老師就值學費了。

熱門課程,限時優惠!

學習生活

提供優質教學環境、并定期組織課外拓展,學員分享、企業參觀、雙選會等活動

常見問題

Q:我沒有計算這方面機基礎,能學會么?

A:建議可以學習軟件測試,學習門檻較低,非計算機專業也更易入門,但需要一定的邏輯思維能力。當然,具有理工科背景或掌握一定基礎的同學會有學習優勢。入學的時候,我們會有相關的測評考試,也會有職業規劃老師根據測評結果提供適合你的課程建議。

Q:每個學生都能100%保證就業嗎?

A:我們并不是在包就業,我們的課程的實戰性很強,凡是在浩泰思特畢業的學生,終身免費推薦就業,目前還沒有無法就業的學員。

Q:現在企業會接受大專學歷嗎?

A:對于一些文職職位來說,學歷是個硬性要求;但對于技術崗位來說,企業更看重的個人的能力,學歷不是硬性要求。我們一個上市合作企業的部門總監說過,我更傾向于技術好的面試者,我們很多員工都是大專生,他們好學努力,而且更踏實。

Q:從事軟件測試會不會不好轉型?

A:其實是很好轉型的。第一種走技術路線,成長為高級軟件測試工程師,再向上發展可以成為軟件測試架構設計師。第二種就是向管理方向發展,從測試工程師到組長(Lead),再到項目經理(Manager),到更高的管理職位。

Q:這些技術會不會很快被淘汰?比如軟件測試?

A:目前企業對高質量的測試工程師需求量越來越大越大,過去國內對測試工程師的職業重視程度不夠,但現在公司之間的競爭都集中在軟件質量方面,所以公司對軟件測試人員的需求量也越來越大,軟件只要不被淘汰,這些技術就不會。

Q:參加培訓和直接就業有區別嗎?

A:是有區別的。培訓的目的就是為了參加工作后能夠立刻上手。而直接就業的話需要時間去學習。但目前的企業普遍都不愿意花時間和人力成本去培養一個小白,他們寧愿多花一點錢去雇一個是有實際經驗的人。

Q:我想考研(本),不想參加培訓。

A:其實考研與參加培訓是不沖突的,考研是提升學歷提高就業競爭力,參加培訓是增加技術競爭力。在這個社會中,能力要比學歷更重要。我們的學生有好多的本科生和研究生。更建議有實際工作經驗后再提高學歷。

Q:IT行業男生居多,我是女生就業前景怎么樣?

A:很多人可能會認為IT是男性主導的行業,其實這是一個誤區。就軟件測試來說,女性更為適合。女性表達力和親和力強,適合統籌管理工作。有很多大型企業就是想招女生找不到呢,所以進入IT行業,女生其實要比男生吃香的。

Q:聽同學說前端更簡單,是不是真的?

A:測試并沒有Web前端代碼多,Web前端也是開發的一部分,只是偏于前端開發,但絕不是你想的那種不用寫代碼或者很少的代碼可以干很多的事情,目前還不存在這樣的技術。測試的邏輯思維很重要,善于使用工具配合工作。

Q:我想轉行,有過幾年的工作經驗了,一般就業薪資能達到多少?

A:對于有工作經驗,本身就是一種優勢,因為對于企業業務流程等比較熟悉。一般沒有工作經驗的應屆畢業生都能在6000以上,近期就業的學員中,學習成績好的薪資已經達到13000元了,有就業經驗會更加有競爭力。


邁出第一步

開啟你的IT成長之路

-->