資安實務課程─網站安全:網站滲透測試進階培訓課程
這是一堂針對網站滲透測試的進階課程,涉及多種常見的網路攻擊類型和防禦策略,並透過實戰練習和案例分析來增強學員的實戰能力。
透過實戰掌握網站安全漏洞的識別和利用技巧,並瞭解最新的網路攻擊手法和防禦策略。
須具備初階網站滲透測試能力,可參考《網站滲透測試初階培訓課程》課程大綱。
課程簡介
這是一門專門針對網站滲透測試的進階課程,旨在教授學員識別和利用各種網路安全漏洞。課程內容豐富,涉及多種常見的網路攻擊類型和防禦策略,並透過實戰練習和案例分析來增強學員的實戰能力。
課程目標
- 掌握網站安全漏洞的識別和利用技巧。
- 學習如何進行有效的滲透測試以評估和提高網站安全性。
- 瞭解最新的網路攻擊手法和防禦策略。
課程定位
- 適用人員:網路安全專業人員,特別是滲透測試工程師和網站安全分析師、希望提升網路安全知識和技能的 IT 人員、對網路安全和網站漏洞有興趣的學生和自學者,須具備初階網站滲透測試能力,可參考《網站滲透測試初階培訓課程》課程大綱。
- 本課程定位為進階網路安全培訓,適合具有一定基礎的學員。結合理論與實踐,強調實戰演練和案例分析,透過學員實際操作,一線講師的引導,獲得專業網站滲透測試的能力。
課程大綱
模組 1:注入攻擊
- XML 外部實體注入 (XXE)
- 理解 XML 注入攻擊的原理
- 防範 XML 外部實體注入的措施
- SQL 注入
- 深入理解 SQL 注入攻擊
- 常見 SQL 注入防禦策略
- NoSQL 注入
- 探索 NoSQL 資料庫的安全漏洞
- 防禦 NoSQL 注入的有效方法
- XPath 注入
- 探討 XPath 注入攻擊的影響
- 防範 XPath 注入策略
- 命令注入
- 理解 Command Injection 攻擊
- 有效防禦方法
模組 2:認證與授權漏洞
- 使用者帳號枚舉
- 使用者帳號枚舉技巧與安全影響
- 防範帳號枚舉的措施
- 垂直存取控制
- 管理不同用戶級別的存取權限
- 保護高級用戶資源
- 水平存取控制
- 確保用戶之間安全的存取控制
- 防範越權訪問
模組 3:跨站攻擊
- 跨站腳本攻擊 (XSS)
- 學習 XSS 攻擊的種類
- 預防和修復 XSS 漏洞
- 跨來源資源共享錯誤設定 (CORS)
- 理解 CORS 配置問題
- 修復錯誤配置的最佳實踐
模組 4:敏感資料與隱私保護
- 資訊洩漏
- 識別資訊洩漏風險
- 實施防護措施
- 敏感資料暴露
- 保護敏感資料免受未經授權存取
- 數據加密與傳輸安全
- JWT 密鑰暴力破解
- 理解 JSON Web Tokens 的漏洞
- 防止密鑰暴力破解攻擊
模組 5:伺服器與 API 安全
- 伺服器端請求偽造 (SSRF)
- 理解 SSRF 漏洞的利用方式
- 學習防禦 SSRF 的技術
- 隱藏的 API 功能曝光
- 識別 API 的潛在漏洞
- 實施 API 安全保護
- 開放重定向
- 防範網站被利用進行 Open Redirect 攻擊
- 修正相關漏洞
模組 6:文件與資料操作漏洞
- 路徑遍歷
- 理解 Path Traversal 攻擊的威脅
- 防禦路徑遍歷漏洞
- 不安全的直接物件引用 (IDOR)
- 分析物件引用的安全性
- 實施 IDOR 防禦措施
- 不安全的反序列化
- 理解反序列化漏洞及其風險
- 有效防範方法
模組 7:其他安全威脅
- JSON 劫持
- 瞭解 JSON 劫持攻擊方式
- 防禦 JSON 劫持的方法
課程時數
本課程預計授課時數為 6~12 小時,且課程可以實體或線上直播授課。
課程備註
本課程包含實作演練課程。
