开班计划:2025年7月12日启动
点击领取 >>>《OSWE考纲》、《OSWE基础测试》、《OSWE课程试听》
白盒Web应用程序渗透测试
WEB-300:高级Web应用程序攻击和利用是OffSec为学员提供的拥有高级模块、定制私享主机和实操实验靶机的培训系统,使学员能够更深入地了解 Web 应用程序安全实践。
这个具有挑战性的课程融汇了网络安全领导者的洞察力和指导,将在白盒实验环境中培养您团队的技能。学员将获得对反编译的 Web 应用程序源代码进行深入分析的技能,识别许多企业级扫描器无法检测到的逻辑漏洞,结合逻辑漏洞创建Web 应用程序的漏洞利用代码,并将它们链接整合到复杂的攻击当中。
总体来说,本课程主要分为几大部分:源码分析,常见Web威胁审计(SQL注入、XML外部实体注入、文件上传、目录穿越、信息泄露、逻辑缺陷等)以及基于Web漏洞的RCE构建(反序列化、代码注入、数据库远程命令执行、通过WebSockets注入操作系统命令等。除了课程内容之外,官方提供了3套课后练习环境,以便学员熟悉OSWE考试难度和考试题目情况。OSWE的课程内容包含大量对代码审计工作原理的介绍与实例,对现网攻防和Web安全工作有很大帮助。同时,作为Web应用安全的高阶课程,OSWE是300系列中存在时间最长的认证,相较于PEN系列注重于黑盒,OSWE则注重的是Web安全方向的白盒审计。
完成课程并通过考试的学员将获得Offensive Security Web Expert (OSWE) 认证,证明他们掌握了利用前端 Web 应用程序的能力。
本课程非常适合经验丰富的渗透测试人员、Web应用程序安专家以及使用Web应用程序的代码库和安全基础架构的 Web 专业人员在白盒 Web 应用程序渗透测试方面获得更好技能。
通过WEB-300培训课程,您可以相信您公司的数据、声誉和财务稳定性是非常安全可靠的,因为您的安全团队已做好充分准备迎接现代企业环境中的最新挑战。
WEB-300:使用 Kali Linux 进行高级 Web 应用程序攻击可通过课程和证书考试包或 Learn One 或 Learn Unlimited 订阅获得。
认证机构介绍:OffSec
OffSec总部位于New York, USA,目前有300多位员工,在全球US、Europe、APJ - SG, PH、LATAM等地设有办公地点;业务覆盖国家20+;OffSec公司主要业务是针对个人用户的网络安全认证培训产品,例如: OSCP、OSEP、OSDA、OSWA、OSWE、OSED、OSEE等;以及企业实训平台和网络靶场等;OffSec产品是一些知名公司网络安全团队的首选,例如埃森哲、思科、德勤、亚马逊、IBM、微软、摩根大通、花旗集团、Oracle、新加坡电信、澳大利亚电信、软银集团、新加坡大华银行、新加坡华侨银行、台湾银行、NTT集团、香港警务署等。
报名条件
熟练掌握至少一门编码语言
熟练掌握Linux
能够编写Python/Perl/PHP/Bash脚本
熟练掌握网络代理
熟练掌握对Web应用程序攻击的理论、实践知识
培训教材及增值服务课程
官方课程指南(购买Lab之后自行在OFFSEC账户下下载,谷安不提供官方教材,教材跟个人ID是绑定的)
谷安OSWE培训课件打印版
增值服务课程:《渗透测试技术大课》(总价值8000元)
培训讲师:刘隽良
历任华为网络安全工程师、默安科技安全解决方案专家、蚂蚁金服安全运营专家以及美创科技安全实验室负责人,安全全栈从业经历,CSAGCR云安全联盟大中华区高级会员,中国电子学会会员,中国计算机学会会员,多年网络安全从业经验,擅长网络攻防、漏洞挖掘、安全协议分析以及数据安全与隐私保护等方向。出版计算机技术著作4部;贡献10+项CVE;发表2篇SCI收录论文、4篇国内期刊论文、14项发明专利以及多项软著;获有OSWE、OSCP、OSWP、CISSP、CISA等20项行业认证,多次担任各类安全会议议题演讲嘉宾与公开课讲师。
课程收益
个人收益
对反编译的Web应用程序源码进行深入分析
识别企业扫描器无法检测到的逻辑漏洞
结合逻辑漏洞以在Web应用程序上验证
通过将漏洞链接到复杂的攻击中来利用漏洞
对现网实战渗透、攻防演练起到技术储备和工具积累,为现实生活中的更顺利应对工作做好准备
组织收益
通过现代Web应用程序攻击的高级技能提升您的渗透测试人员的技能
有定制网络应用程序的私享实验靶机,学习环境严格实操化
衡量您团队的技能水平,通过行业认可的认证以增强对保护您的 IT 基础设施的信心
通过一支随时准备迎接任何新挑战的熟练团队来加强您组织的安全态势
点击领取 >>>《OSWE考纲》、《OSWE基础测试》、《OSWE课程试听》
