工作周报
第一天
今天主要是编写了关于web渗透培训的三大类内容分别是基础内容包括简介,流程,基本技能,工具及其他风险。
第二类是常见的漏洞,如SQL注入(包括穿山甲和sqlmap使用),xss漏洞利用及绕过,csrf利用,文件上传等
第三类包括服务器提权,加密解密,内网渗透。
第二天
主要学习了等保的基本内容,与1.0相比增加了工业控制系统,物联网,大数据等,在要求上有较大的修改,像应用安全和数据安全合并一个,安全管理机构与人员安全管理合并等,在细节内容上进行了精炼或合并,如删减了物理安全要求人员值守…
第三天
编写渗透测试模版,owaspnew top10,安全体系建设方案设计,风险评估报告及安全集成工作服务流程等。记录并演示关于BurpSuite使用MSF的socks4a代理、Metasploit利用Eternalblue-Doublepulsar 、Windows提权过程 、远程命令执行漏洞的挖掘过程 等
第四天
中认服务资质及国测申请时提交的材料的修改。项目进度跟踪表,培训计划记录。
了解关于Machine learning的安全模型分类K近邻算法的使用(检测异常操作,Rootkit文件)。
第五天
针对老师要求对申请时提交的材料的修改,包括安全运维中的需求调研报告-安全运维,安全运维服务流程。风险评估中信息安全风险评估方案,信息安全风险评估实施规范(参考GBT 20984-2007 模型)
了解SQL时间延迟注入脚本的编写。了解python的常见语法。
复习了常见漏洞的常规利用,知道了一些不同的绕过方法(waf绕过)。文档的整理过程中增加了office软件的技能。项目过程的文件资料,安全工程与风险评估的异同点(都有威胁识别,脆弱性等),查找并编写风险评估过程有自身的规范(评估准备,标准,工具)。了解等保2.0上内容的调整。
2672
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
