瑞星安全大神教你
信息安全技术
为什么要学习安全技术?
提高开发水平
如今,高级开发工程师不仅要能够快速编写高性能代码、还要确保代码可以顺利通过安全扫描,降低潜在安全风险
获得升职加薪
在现有技术的基础上,额外掌握安全技能,提高自身竞争力,许多企业不惜高价找寻安全人才,但市场仍需多供少
抢占技术风口
发达国家均已将安全列为国家战略,习主席亲自挂帅推动国内网络与信息安全行业发展,抢先入行,提早成为专家
保障软件安全
测试工程师要掌握自动化安全扫描和人工渗透性测试,对软件进行全面检测,挖掘系统中存在的安全风险、漏洞等问题
你将学到哪些关键技术?
数据库SQL注入
的防范技术
会话Session
安全管理技术
网站挂马及钓鱼
的分析与防范
如何给系统做
安全评估
如何编写安全的业务代
码(具体项目演习)
安全/渗透性攻防演习
(被传统测试遗漏的)
Burpsuite
Metasploit等
渗透测试工具分析
APP漏洞挖掘
Hook技术与动态调试
移动端逆向安全
你将获得什么课程内容?
你适合这门课程吗?
开发工程师
高级工程师或开发管理者不只考虑追求程序的功能与性能,还需要了解如何编写具备良好安全性的代码
测试工程师
优秀的测试工程师不仅要保障程序的正确性,还应该具备检查程序安全漏洞的能力,做到防患于未然
1-3年的互联网人
对安全感兴趣,总听到黑客、木马、撞库等名词,希望能深入了解安全行业的相关技术知识,提高自己
谁来讲课?
马老师
前瑞星攻防专家
前新东方、人人贷安全负责人
北京市“网安启明星”教官
10多年程序开发与管理经验,精通信息级安全、渗透测试、安全组件编写,多次组织公司云计算安全防护大会,制定Web级安全规范。
课程大纲
第一阶段(网络安全)
信息安全基础
信息安全的常见方向,所需要掌握的技术以及应用领域
网络基础
网络概述、Vmware、IP地址的概述与应用、DOS命令与批处理
Windows服务安全
用户管理、破解系统用户密码、NTFS权限、文件服务器、DNS服务、DHCP服务、IIS服务、活动目录、监控管理、组策略、安全策略
Windows安全基线
Windows server2003安全配置基线
阶段综合项目一
阶段综合项目一
以太网交换与路由技术
OSI协议簇、交换机的基本原理与配置、IP包头分析与静态路有、分析ARP攻击与欺骗、虚拟局域网VLAN、单臂路由与DHCP
高级网络技术
三层交换、ACL-1、ACL-2、网络地址转换、动态路由协议RIP、VPN远程访问
网络安全基线
Cisco基础网络设备安全配置基线
安全设备防护
防火墙原理及部署方式、防火墙高级配置、IDS、WAF
阶段综合项目二
阶段综合项目二
第二阶段(编程开发技术)
Web前端技术
掌握HTML语言,CSS样式表,JavaScript基础,XML及Xpath技术,为自动化测试打好基础
python基础篇
python开发环境搭建,顺序程序设计、选择结构程序设计、循环程序结构设计、字符串、函数的设计与使用,文件的使用,通过系统的编程技术学习,使学员深入掌握通用的编程技能
面向对象的程序设计
掌握面向对象的基本原则以及在编程实践中的意义;掌握python面向对象编程基本实现原理及内存变化
python高手进阶
异常处理、其他第三方扩展库、正则表达式以及爬虫
数据库技术
展示业内主流的数据库管理系统,了解数据库基本原理,掌握数据库基本操作
PHP
PHP基础、PHP语法、PHP流程控制与数组、PHP代码审计中常用函数、PHP操作mysql数据库、PHP代码审计(一)、PHP代码审计(二)
第三阶段(服务安全)
Linux安全运维
Linux操作系统介绍与安装与目录结构分析、Linux系统的基本操作与软件安装、Linux系统下用户以及权限管理、网络配置与日志服务器建立应急思路、建立php主页解析以及主页的访问控制、Nginx服务都建立以及tomcat负载均衡、iptables包过滤与网络地址转换、实用型脚本案例
阶段综合项目三
XSS技术原理,DOM,反射,储存XSS的表现形式等,XSS进阶 深入挖掘XSS漏洞,并掌握一些常见的XSS Framework,蠕虫编写等技术
第四阶段(渗透性测试)
web应用安全入门
作为web应用安全入门课程,主要让学员了解漏洞是什么,什么是web应用安全
手工注入
SQL注入的原理,SQL注入漏洞的发现过程以及注入漏洞的防御
XSS跨站脚本攻击
XSS技术原理,DOM,反射,储存XSS的表现形式等,XSS进阶 深入挖掘XSS漏洞
文件上传/文件包含漏洞
掌握常见的解析漏洞,上传漏洞原理,并可以突破某些上传限制
CSRF跨站请求伪造
理解CSRF攻击的原理及本质、掌握CSRF攻击技术及CSRF的防御
命令注入
命令漏洞挖掘思路,方法,及流程讲解
暴力破解
暴力破解的方式与手段
XXE漏洞
理解XXE漏洞,常见的XXE漏洞攻击手段
SSRF漏洞
理解SSRF攻击的原理及本质、掌握SSRF攻击技术及SSRF的防御
宽字节注入
理解宽字节攻击的原理及本质、掌握宽字节注入攻击技术及宽字节注入的防御
越权漏洞
理解越权漏洞攻击的原理及本质、掌握越权漏洞攻击技术及越权漏洞的防御
重定向攻击
理解重定向,重定向的成因,攻击方式及危害,利用实际案例模拟重定向攻击
eval注入
理解eval注入攻击的原理及本质、掌握eval注入攻击技术及eval注入的防御
目录遍历漏洞
理解目录遍历漏洞攻击手段,掌握常见的目录遍历漏洞攻击手段
攻防演练平台
sqli lab黑客入侵、webgoat 平台、网马分析与解密 、打靶平台-xss quiz 、信息收集、DDOS攻击、HTTPS攻击
hacker工具包利用
burpsuite 、AWVS、Appscan安全攻击工具、kaili环境、SQLMAP、OWASP_ZAP、Nessus 、Metasploit
加密解密相关
加密解密相关以及请求响应小工具开发
渗透测试流程
了解渗透性测试流程
安全基线及web应用开发规范
了解安全基线及web应用开发规范
安全测试报告
掌握安全测试报告的编写
第五阶段(android安全课程大纲)
Android基础
APP结构介绍与安全问题分析
APP安全测试环境搭建
Android模拟器及adb、drozer等入门讲解
访问控制安全分析
敏感组件安全、AndroidMenifest.xml文件安全检索
资源控制安全
编码反编译安全、二次打包安全、键盘监控安全、签名校验安全
应用通信安全分析
URI数据泄露风险、X509 TrustManager信任证书风险、SSL Pinning通信风险
本地漏洞安全分析
本地SQL注入、文件遍历漏洞、拒绝服务漏洞、任意资源文件篡改漏洞
APP业务流程安全分析
Burpsuite、adb、Xposed在Android安全测试中的使用
APP业务流程安全分析
注册安全、登录安全、找回密码安全、越权等
学员评价
闫*炜 入职 奇* 360 安全工程师
报名前还担心能不能学会,开课发现零基础能接受,但的确很辛苦,课程只有15天,我却用了多几倍的业余时间在课后狂补基础,没想到毕业后进了安全行业的领头羊。
张*飚 入职 天*信 渗透性测试工程师
马老师讲课非常有趣,总能通过一些案例让我们最快的理解技术点,让我可以短时间就掌握了渗透性测试的相关技术,成功进入了安全行业。
张* 入职 娜*科技 安全工程师
我是做软件测试的,比较看好安全行业前景。马老师简直是我的偶像,一线安全企业都扫不出来的漏洞,他手工15分钟就发现了,我感觉能结识马老师就值学费了。
热门课程,限时优惠!
学习生活
提供优质教学环境、并定期组织课外拓展,学员分享、企业参观、双选会等活动
常见问题
Q:我没有计算这方面机基础,能学会么?
A:建议可以学习软件测试,学习门槛较低,非计算机专业也更易入门,但需要一定的逻辑思维能力。当然,具有理工科背景或掌握一定基础的同学会有学习优势。入学的时候,我们会有相关的测评考试,也会有职业规划老师根据测评结果提供适合你的课程建议。
Q:每个学生都能100%保证就业吗?
A:我们并不是在包就业,我们的课程的实战性很强,凡是在浩泰思特毕业的学生,终身免费推荐就业,目前还没有无法就业的学员。
Q:现在企业会接受大专学历吗?
A:对于一些文职职位来说,学历是个硬性要求;但对于技术岗位来说,企业更看重的个人的能力,学历不是硬性要求。我们一个上市合作企业的部门总监说过,我更倾向于技术好的面试者,我们很多员工都是大专生,他们好学努力,而且更踏实。
Q:从事软件测试会不会不好转型?
A:其实是很好转型的。第一种走技术路线,成长为高级软件测试工程师,再向上发展可以成为软件测试架构设计师。第二种就是向管理方向发展,从测试工程师到组长(Lead),再到项目经理(Manager),到更高的管理职位。
Q:这些技术会不会很快被淘汰?比如软件测试?
A:目前企业对高质量的测试工程师需求量越来越大越大,过去国内对测试工程师的职业重视程度不够,但现在公司之间的竞争都集中在软件质量方面,所以公司对软件测试人员的需求量也越来越大,软件只要不被淘汰,这些技术就不会。
Q:参加培训和直接就业有区别吗?
A:是有区别的。培训的目的就是为了参加工作后能够立刻上手。而直接就业的话需要时间去学习。但目前的企业普遍都不愿意花时间和人力成本去培养一个小白,他们宁愿多花一点钱去雇一个是有实际经验的人。
Q:我想考研(本),不想参加培训。
A:其实考研与参加培训是不冲突的,考研是提升学历提高就业竞争力,参加培训是增加技术竞争力。在这个社会中,能力要比学历更重要。我们的学生有好多的本科生和研究生。更建议有实际工作经验后再提高学历。
Q:IT行业男生居多,我是女生就业前景怎么样?
A:很多人可能会认为IT是男性主导的行业,其实这是一个误区。就软件测试来说,女性更为适合。女性表达力和亲和力强,适合统筹管理工作。有很多大型企业就是想招女生找不到呢,所以进入IT行业,女生其实要比男生吃香的。
Q:听同学说前端更简单,是不是真的?
A:测试并没有Web前端代码多,Web前端也是开发的一部分,只是偏于前端开发,但绝不是你想的那种不用写代码或者很少的代码可以干很多的事情,目前还不存在这样的技术。测试的逻辑思维很重要,善于使用工具配合工作。
Q:我想转行,有过几年的工作经验了,一般就业薪资能达到多少?
A:对于有工作经验,本身就是一种优势,因为对于企业业务流程等比较熟悉。一般没有工作经验的应届毕业生都能在6000以上,近期就业的学员中,学习成绩好的薪资已经达到13000元了,有就业经验会更加有竞争力。