为什么要学习安全技术?

提高开发水平

如今,高级开发工程师不仅要能够快速编写高性能代码、还要确保代码可以顺利通过安全扫描,降低潜在安全风险

获得升职加薪

在现有技术的基础上,额外掌握安全技能,提高自身竞争力,许多企业不惜高价找寻安全人才,但市场仍需多供少

抢占技术风口

发达国家均已将安全列为国家战略,习主席亲自挂帅推动国内网络与信息安全行业发展,抢先入行,提早成为专家

保障软件安全

测试工程师要掌握自动化安全扫描和人工渗透性测试,对软件进行全面检测,挖掘系统中存在的安全风险、漏洞等问题

你将学到哪些关键技术?

数据库SQL注入

的防范技术

会话Session

安全管理技术

网站挂马及钓鱼

的分析与防范

如何给系统做

安全评估

如何编写安全的业务代

码(具体项目演习)

安全/渗透性攻防演习

(被传统测试遗漏的)

Burpsuite

Metasploit等

渗透测试工具分析

APP漏洞挖掘

Hook技术与动态调试

移动端逆向安全

你将获得什么课程内容?

防御攻击手段
安全评估方法
常见工具使用
经典项目演练

你适合这门课程吗?

开发工程师

高级工程师或开发管理者不只考虑追求程序的功能与性能,还需要了解如何编写具备良好安全性的代码

测试工程师

优秀的测试工程师不仅要保障程序的正确性,还应该具备检查程序安全漏洞的能力,做到防患于未然

1-3年的互联网人

对安全感兴趣,总听到黑客、木马、撞库等名词,希望能深入了解安全行业的相关技术知识,提高自己

谁来讲课?

马老师

前瑞星攻防专家

前新东方、人人贷安全负责人

北京市“网安启明星”教官

10多年程序开发与管理经验,精通信息级安全、渗透测试、安全组件编写,多次组织公司云计算安全防护大会,制定Web级安全规范。

课程大纲

第一阶段(网络安全)

信息安全基础

信息安全的常见方向,所需要掌握的技术以及应用领域

网络基础

网络概述、Vmware、IP地址的概述与应用、DOS命令与批处理

Windows服务安全

用户管理、破解系统用户密码、NTFS权限、文件服务器、DNS服务、DHCP服务、IIS服务、活动目录、监控管理、组策略、安全策略

Windows安全基线

Windows server2003安全配置基线

阶段综合项目一

阶段综合项目一

以太网交换与路由技术

OSI协议簇、交换机的基本原理与配置、IP包头分析与静态路有、分析ARP攻击与欺骗、虚拟局域网VLAN、单臂路由与DHCP

高级网络技术

三层交换、ACL-1、ACL-2、网络地址转换、动态路由协议RIP、VPN远程访问

网络安全基线

Cisco基础网络设备安全配置基线

安全设备防护

防火墙原理及部署方式、防火墙高级配置、IDS、WAF

阶段综合项目二

阶段综合项目二

第二阶段(编程开发技术)

Web前端技术

掌握HTML语言,CSS样式表,JavaScript基础,XML及Xpath技术,为自动化测试打好基础

python基础篇

python开发环境搭建,顺序程序设计、选择结构程序设计、循环程序结构设计、字符串、函数的设计与使用,文件的使用,通过系统的编程技术学习,使学员深入掌握通用的编程技能

面向对象的程序设计

掌握面向对象的基本原则以及在编程实践中的意义;掌握python面向对象编程基本实现原理及内存变化

python高手进阶

异常处理、其他第三方扩展库、正则表达式以及爬虫

数据库技术

展示业内主流的数据库管理系统,了解数据库基本原理,掌握数据库基本操作

PHP

PHP基础、PHP语法、PHP流程控制与数组、PHP代码审计中常用函数、PHP操作mysql数据库、PHP代码审计(一)、PHP代码审计(二)

第三阶段(服务安全)

Linux安全运维

Linux操作系统介绍与安装与目录结构分析、Linux系统的基本操作与软件安装、Linux系统下用户以及权限管理、网络配置与日志服务器建立应急思路、建立php主页解析以及主页的访问控制、Nginx服务都建立以及tomcat负载均衡、iptables包过滤与网络地址转换、实用型脚本案例

阶段综合项目三

XSS技术原理,DOM,反射,储存XSS的表现形式等,XSS进阶 深入挖掘XSS漏洞,并掌握一些常见的XSS Framework,蠕虫编写等技术

第四阶段(渗透性测试)

web应用安全入门

作为web应用安全入门课程,主要让学员了解漏洞是什么,什么是web应用安全

手工注入

SQL注入的原理,SQL注入漏洞的发现过程以及注入漏洞的防御

XSS跨站脚本攻击

XSS技术原理,DOM,反射,储存XSS的表现形式等,XSS进阶 深入挖掘XSS漏洞

文件上传/文件包含漏洞

掌握常见的解析漏洞,上传漏洞原理,并可以突破某些上传限制

CSRF跨站请求伪造

理解CSRF攻击的原理及本质、掌握CSRF攻击技术及CSRF的防御

命令注入

命令漏洞挖掘思路,方法,及流程讲解

暴力破解

暴力破解的方式与手段

XXE漏洞

理解XXE漏洞,常见的XXE漏洞攻击手段

SSRF漏洞

理解SSRF攻击的原理及本质、掌握SSRF攻击技术及SSRF的防御

宽字节注入

理解宽字节攻击的原理及本质、掌握宽字节注入攻击技术及宽字节注入的防御

越权漏洞

理解越权漏洞攻击的原理及本质、掌握越权漏洞攻击技术及越权漏洞的防御

重定向攻击

理解重定向,重定向的成因,攻击方式及危害,利用实际案例模拟重定向攻击

eval注入

理解eval注入攻击的原理及本质、掌握eval注入攻击技术及eval注入的防御

目录遍历漏洞

理解目录遍历漏洞攻击手段,掌握常见的目录遍历漏洞攻击手段

攻防演练平台

sqli lab黑客入侵、webgoat 平台、网马分析与解密 、打靶平台-xss quiz 、信息收集、DDOS攻击、HTTPS攻击

hacker工具包利用

burpsuite 、AWVS、Appscan安全攻击工具、kaili环境、SQLMAP、OWASP_ZAP、Nessus 、Metasploit

加密解密相关

加密解密相关以及请求响应小工具开发

渗透测试流程

了解渗透性测试流程

安全基线及web应用开发规范

了解安全基线及web应用开发规范

安全测试报告

掌握安全测试报告的编写

第五阶段(android安全课程大纲)

Android基础

APP结构介绍与安全问题分析

APP安全测试环境搭建

Android模拟器及adb、drozer等入门讲解

访问控制安全分析

敏感组件安全、AndroidMenifest.xml文件安全检索

资源控制安全

编码反编译安全、二次打包安全、键盘监控安全、签名校验安全

应用通信安全分析

URI数据泄露风险、X509 TrustManager信任证书风险、SSL Pinning通信风险

本地漏洞安全分析

本地SQL注入、文件遍历漏洞、拒绝服务漏洞、任意资源文件篡改漏洞

APP业务流程安全分析

Burpsuite、adb、Xposed在Android安全测试中的使用

APP业务流程安全分析

注册安全、登录安全、找回密码安全、越权等

学员评价

闫*炜 入职 奇* 360 安全工程师

报名前还担心能不能学会,开课发现零基础能接受,但的确很辛苦,课程只有15天,我却用了多几倍的业余时间在课后狂补基础,没想到毕业后进了安全行业的领头羊。

张*飚 入职 天*信 渗透性测试工程师

马老师讲课非常有趣,总能通过一些案例让我们最快的理解技术点,让我可以短时间就掌握了渗透性测试的相关技术,成功进入了安全行业。

张* 入职 娜*科技 安全工程师

我是做软件测试的,比较看好安全行业前景。马老师简直是我的偶像,一线安全企业都扫不出来的漏洞,他手工15分钟就发现了,我感觉能结识马老师就值学费了。

热门课程,限时优惠!

学习生活

提供优质教学环境、并定期组织课外拓展,学员分享、企业参观、双选会等活动

常见问题

Q:我没有计算这方面机基础,能学会么?

A:建议可以学习软件测试,学习门槛较低,非计算机专业也更易入门,但需要一定的逻辑思维能力。当然,具有理工科背景或掌握一定基础的同学会有学习优势。入学的时候,我们会有相关的测评考试,也会有职业规划老师根据测评结果提供适合你的课程建议。

Q:每个学生都能100%保证就业吗?

A:我们并不是在包就业,我们的课程的实战性很强,凡是在浩泰思特毕业的学生,终身免费推荐就业,目前还没有无法就业的学员。

Q:现在企业会接受大专学历吗?

A:对于一些文职职位来说,学历是个硬性要求;但对于技术岗位来说,企业更看重的个人的能力,学历不是硬性要求。我们一个上市合作企业的部门总监说过,我更倾向于技术好的面试者,我们很多员工都是大专生,他们好学努力,而且更踏实。

Q:从事软件测试会不会不好转型?

A:其实是很好转型的。第一种走技术路线,成长为高级软件测试工程师,再向上发展可以成为软件测试架构设计师。第二种就是向管理方向发展,从测试工程师到组长(Lead),再到项目经理(Manager),到更高的管理职位。

Q:这些技术会不会很快被淘汰?比如软件测试?

A:目前企业对高质量的测试工程师需求量越来越大越大,过去国内对测试工程师的职业重视程度不够,但现在公司之间的竞争都集中在软件质量方面,所以公司对软件测试人员的需求量也越来越大,软件只要不被淘汰,这些技术就不会。

Q:参加培训和直接就业有区别吗?

A:是有区别的。培训的目的就是为了参加工作后能够立刻上手。而直接就业的话需要时间去学习。但目前的企业普遍都不愿意花时间和人力成本去培养一个小白,他们宁愿多花一点钱去雇一个是有实际经验的人。

Q:我想考研(本),不想参加培训。

A:其实考研与参加培训是不冲突的,考研是提升学历提高就业竞争力,参加培训是增加技术竞争力。在这个社会中,能力要比学历更重要。我们的学生有好多的本科生和研究生。更建议有实际工作经验后再提高学历。

Q:IT行业男生居多,我是女生就业前景怎么样?

A:很多人可能会认为IT是男性主导的行业,其实这是一个误区。就软件测试来说,女性更为适合。女性表达力和亲和力强,适合统筹管理工作。有很多大型企业就是想招女生找不到呢,所以进入IT行业,女生其实要比男生吃香的。

Q:听同学说前端更简单,是不是真的?

A:测试并没有Web前端代码多,Web前端也是开发的一部分,只是偏于前端开发,但绝不是你想的那种不用写代码或者很少的代码可以干很多的事情,目前还不存在这样的技术。测试的逻辑思维很重要,善于使用工具配合工作。

Q:我想转行,有过几年的工作经验了,一般就业薪资能达到多少?

A:对于有工作经验,本身就是一种优势,因为对于企业业务流程等比较熟悉。一般没有工作经验的应届毕业生都能在6000以上,近期就业的学员中,学习成绩好的薪资已经达到13000元了,有就业经验会更加有竞争力。


迈出第一步

开启你的IT成长之路

-->