点击领取 >>>《OSWE考纲》、《OSWE基础测试》、《OSWE课程试听》
高级 Web 攻击和利用(WEB-300)是Offsec提供的高级Web应用安全课程,旨在培养学生进行白盒渗透测试所需要的能力。
总体来说,本课程主要分为几大部分:JavaScript原型污染;高级服务器端请求伪造;源码分析;.NET反序列化;基于DOM的跨站脚本;通过WebSockets注入操作系统命令等方面。除了课程内容之外,官方提供了3套课后练习环境,以便学员熟悉OSWE考试难度和考试题目情况。
OSWE的课程内容包含大量对代码审计工作原理的介绍与实例,对现网攻防和Web安全工作有很大帮助。同时,作为Web应用安全的高阶课程,OSWE是300系列中存在时间最长的认证,相较于PEN系列注重于黑盒,OSWE则注重的是Web安全方向的白盒审计。
随着2021年的更新,WEB-300 现在具有三个新模块、更新的现有内容、新机器以及更新的视频。完成课程并通过考试的学生将获得攻击性安全 Web 专家 (OSWE) 认证,证明掌握了利用前端 Web 应用程序的能力
OSWE 是构成新 OSCE 3认证的三项认证之一,另外还有用于高级渗透测试的OSEP和用于漏洞利用开发的OSED。
报名条件
熟练掌握至少一门编码语言
熟练掌握Linux
能够编写Python/Perl/PHP/Bash脚本
熟练掌握网络代理
熟练掌握对Web应用程序攻击的理论、实践知识
培训安排
【阶段一】 开展6天的培训内容,以OSWE考纲为内容做内容讲解和演示;
【测试一】 阶段一结束后安排阶段性打靶测试,检查当前渗透测试水平
【阶段二】 将学员也分组、每周固定打靶练习;每周固定时间集中答疑;
【阶段三】 安排考前冲刺课,包括考试注意事项、重要内容串讲、打靶思路分享。
WEB-300培训库实验室连接指南:https://help.offensive-security.com/hc/en-us/articles/4406534925460-WEB-300-Training-Library-Lab-Connectivity-Guide
培训教材及增值服务课程
官方课程指南(购买Lab之后自行在OFFSEC账户下下载,谷安不提供官方教材,教材跟个人ID是绑定的)
谷安OSWE培训课件打印版
增值服务课程(总价值8000元)
《渗透测试技术大课》
培训讲师:刘隽良
历任华为网络安全工程师、默安科技安全解决方案专家、蚂蚁金服安全运营专家以及美创科技安全实验室负责人,安全全栈从业经历,CSAGCR云安全联盟大中华区高级会员,中国电子学会会员,中国计算机学会会员,多年网络安全从业经验,擅长网络攻防、漏洞挖掘、安全协议分析以及数据安全与隐私保护等方向。出版计算机技术著作4部;贡献10+项CVE;发表2篇SCI收录论文、4篇国内期刊论文、14项发明专利以及多项软著;获有OSWE、OSCP、OSWP、CISSP、CISA等20项行业认证,多次担任各类安全会议议题演讲嘉宾与公开课讲师。
课程收益
对反编译的Web应用程序源码进行深入分析
识别企业扫描器无法检测到的逻辑漏洞
结合逻辑漏洞以在Web应用程序上验证
通过将漏洞链接到复杂的攻击中来利用漏洞
对现网实战渗透、攻防演练起到技术储备和工具积累,为现实生活中的更顺利应对工作做好准备
点击领取 >>>《OSWE考纲》、《OSWE基础测试》、《OSWE课程试听》