问好!谢邀。关于这个问题,我来和大家分亨一下我个人的观点。
谢邀,请容许我自荐一波
掌控安全学院 (ZKAQEDU)为腾讯官方认证学院,隶属于掌控者信息安全技术有限公司,是军民融合、高新技术企业;学院与高校联合成立网络空间安全研究所,获省信息动员办颁发优秀示范点称号。
创办至今累计培养了五千余名网络安全人才,输送到了 公安、国安、军区 与关键信息基础设施单位; 360、奇安信、启明星辰、天融信 等网络安全企业;及 美团、阿里巴巴、Boss直聘 等互联网企业。
先做一个自我介绍: 我是微专业的负责人,70老师,负责教务团队的课程研发、课程设计,学习平台等所有教务相关事务皆由我负责。
今天站在官方角度来为大家汇报: 我们是如何做好学院教书育人的工作?
我们无时无刻地思考以下几个问题:
第一个问题:什么样的教学设计,能够培养一名正规就业的“黑客”?
1、课程受众设计: IT行业从事者,IT专业的大学生,甚至信息技术零基础人员
2、学院办学目标: 培养高薪高水平的网络安全人才,致力于做国内做好的网络安全学院。
3、我们经过层层优化改版的课程学习框架三阶段:
#1阶段, 零基础学习:
服务器通信原理、环境配置搭建、Web前后端基础
#2阶段, 网络安全技能:
当下主流的网络安全技能
信息收集、注入、Xss、Csrf、文件上传等。
#3阶段, 漏洞原理利用
反序列化、文件包含、XXE、SSRF、变量覆盖等
#4阶段, 漏洞挖掘
逻辑漏洞、平行越权、支付漏洞、Waf绕过原理及技巧
以上的课程,我们是按照微专业标准设计,我们崇尚微专业式学习而不是培训的概念
而上述四阶段的教学内容,能超出当下岗位所需要的技能水准。
4、课程的教学如何保障质量?
我们 每个月 都会面向学生做问卷调查,统计、改进反馈的意见
对于授课,有着严谨的设计要求:
从“这节课让学生掌握什么”、“讲什么内容让学生掌握?”到“通过什么有趣、清晰的举例说明?”
下附正式课中就业课的课程大纲。
内容充实且能够丰富有趣的将课程讲下去,是需要花心血去构思和写课程大纲的。
辅导员会提醒每位同学上课时间,并对到课做考勤,未到同学还需提前请假
“不是你报名交完钱,我们就不管了,而你就想怎样就怎样的”
“你是来这里学习的!”
同时为了激励学生,设置了到课率奖学金,而针对到课率异常的同学,我们会微信、电话回访,了解原因,督促学习。
线上课堂的学习率会低?我们每一期几乎所有同学都能拿到奖学金!
我们做到了,每一节课一个靶场,并每月优化设计
当学生听完课程后,可以去真实(模拟)的目标,实战攻击训练。
同时!要求每位同学必须完成靶场笔记,写出解题思路,交至社区,由老师批改。
笔记必须写出做题的思路、想法,老师会严格审批作业,了解你的实战思路,指出错误、优化思路。
网络安全是顶级学科,以渗透为主的技术难度更是可想而知。
培训一般周期较短,我们该如何确保学生的学习效率呢?
腾讯课程录播无限次回放观看,看完可以去做配套的靶场
靶场不会做?我们一周七!天!每!天!都!有!全职的辅导员老师值班,从上午11点至晚9点30,给每位前来提问的同学一对一解答。
好的学习氛围能够提升学生学习的主动性,积极性,还有学习效率
在新一期开课时,我们会利用分组活动,来提高学习氛围
我们鼓励同城、同爱好的学生组在一起,小组和小组之间PK
单独计算小组到课率,设置小组奖学金,以激励大家
上述四点只是我们目前所做的一部分,还有很多可以优化的内容。
我个人曾担任过高校的安全专业负责人,我非常清楚,对教育事业的态度,一个老师对学生的负责与否,会改变很多人的一生;
所以,我们必须认真、严谨、发挥一切现有能力、创造力,去承担起“老师”这个称谓。
我可以很自豪的讲,我们的学员,在这样的体系下,能够达到远超于岗位所需的水平。
正是因为行业人才稀缺,薪资高,很多不懂安全的培训机构,在没有任何背景的情况下,开设了相关专业,只为赚钱,学成与否与我何干?拉你去干背锅运维,拉你去送快递,也叫就业率达标。
同时也有许多民间小团体,自立旗帜宣布开班,各种培训“老师”纷纷出现,自认为水平是有的,教的是顶好的,却不知在教学设计、组织、对学生的责任心上,还有非常大的欠缺。
这导致了什么?
HR天天听公司提人力需求,收到的简历却又都没有安全技能。
好不容易看简历有个比较贴近需求的,一技术面又是原形毕露。
所以,安全行业的HR在筛选投递者时,会设置两道门槛:
1、有无漏洞挖掘履历(能力的证明)
2、有无从事安全行业经验(有才能证明是圈内人)
1、每个月开设SRC活动,并指导大家积攒项目经验
老师会指导学生去SRC平台挖掘漏洞,把课程所学,转化为真正的价值
2、设立SRC奖学金,提高同学们的积极性。
3、专攻能拿到证书的漏洞平台,如CVE、CNVD等
截止我写稿时间,目前我们的学员在漏洞盒子上11月的月度排名第1、4、6
前五十名还有非常多我们的同学,10月也是我们的学生拿到了第一名
我们就业课只讲如何展示出自己的实力,就业有哪些误区,仅此而已。
课程保持每年两次的更新,来追逐新技术的迭代更新。
同时给予同学:社区、靶场、新一期课程的观看权限,做到一次付费终生免费!
你获得的远不止一期的水平提升,还有:
1、足足几千人的校友圈,均在国内各大安全甲乙方担任要职,
2、未来新技术课程的随时学习权限;
3、靶场的永久VIP权限(靶场额外设有:漏洞复现版块、AWD版块)
4、社区的永久VIP权限(社区额外设有:文库、指纹库、兵器库等)
截止今天,我们的学员遍布全国各省、港澳台,甚至还有国外留学生以及外国同学。
我们的学员不止大学生,还有国家队、国企工作人员,还有安全私企(360、深信服、奇安信、天融信、绿盟)等在安全岗位已就业的同学。
学历差了点,只有中专甚至初中的,底薪也有7-10k,但不到半年,也能拿到10k以上了。
而学的还不错的,光底薪都有40k,还没算奖金。
学生年龄层从18至45都有,光我能记得的,35岁左右的同学就不少于五人。
之前干运维搞开发背锅的有,用CAD做设计的也有,搞园林的也有,连初一甚至六年级的小朋友都有。
师者父母也,我们改写了不少人的一生!我们为所从事的职业而感到自豪!
最后摘选学生评论的一句话结尾:
PS:文章是以前写过的一篇回答,摘来发了。
我们每天晚上都有直播授课,参与互动!
欢迎来体验我们的课程及 封神台靶场 ~
掌控安全学院:黑客教程(领资料)
必火安全学院六个月全日制课堂,每年培育一百位以上网络安全工程师、渗透测试工程师,99%高薪就业率。
课程大纲千锤百炼,顶级前沿技术培训,全栈网络安全工程师培训基地。
①.网络协议
②.交换机:交换机设备简介 工作原理 常见命令与基本配置
③.IP地址:IP地址的定义及分类 子网掩码、网络地址 IP地址连通性测试 路由器基本操作
④.网络层协议:网络层协议概述 IP数据包格式 ARP协议原理 广播与广播域 ICMP协议的主要功能
⑤.ARP协议:ARP攻击和欺骗的原理 ARP攻击应用案例 防御攻击和欺骗并查找攻击主机
⑥.路由:路由的工作原理 路由表的形成 静态与默认路由 路由器转发过程分析 配置多路由器网络
⑦.虚拟局域网:vlan的概述 vlan的种类 静态vlan的配置 trunk概述 trunk的配置
⑧.单臂路由和VTP概述:单臂路由的原理 使用路由器配置DHCP vtp的工作原理 vtp的配置
⑨.GNS3软件操作 三层交换技术 生成树STP的原理与配置
⑩.等等:热备份路由选择协议 HSRP的状态 HSRP配置 常见故障排查
子网划分的原理 子网划分应用场景 地址汇总及规划
TCP/UDP协议 访问控制列表概述 标准访问控制列表 扩展访问控制列表 命名访问控制列表
网络地址转换NAT概念 静态NAT 动态NAT PAT 故障处理
动态路由协议基础 RIP路由协议工作原理 RIP路由协议的配置和验证
①.基础: 计算机硬件组成 、BIOS简介、 启动过程、操作系统类型、操作系统介绍、windows操作系统基本操作命令、Word文档、Excel表格、.PPT演示
②.DHCP:DHCP概述 2.工作原理 3.分配过程与租约过程 4.配置DHCP客户端 5.备份/还原DHCP服务
③.DNS:DNS概述 2.DNS功能及组成 3.DNS区域 4.配置区域子域与委派 5.转发器/根提示
④.WEB:www概述 2.IIS概述 3.安装与配置IIS和web站点 4.配置虚拟目录 5.配置虚拟主机
⑤.FTP:FTP概述 2.客户端程序 3.服务端程序 4.FTP发布服务 5.访问FTP服务 6.serv-U部署FTP服务
⑥.域:AD域服务概述 2.活动目录的相关概念 3.域结构 4.域/林功能级别 5.工作组和域的区别
6.部署windows域、 7.安装域控 8.客户机加入域 9.添加额外域控制器 10.卸载域控
⑦.域账户:域用户账户的管理 2.组织单位的管理 3.提升域功能级别 4.提升林功能级别
⑧.本地安全策略:本地安全策略概述 2.密码策略 3.账户锁定策略 4.用户权限分配 5.安全选项
⑨.组策略:组策略概述 2.GPO介绍 3.计算机配置 4.用户配置 5.策略权限 6.软件分发
①.1.Linux发展史 2.RedHat系列操作系统 3.认识Kali渗透系统
②.1.文件系统介绍 2.目录结构及功能 3.系统安装及磁盘分区 4.系统引导过程 5.系统基本操作(图形化操作)
③.1.基本操作命令 2.服务操作命令(介绍systemd管理机制
④.1.文件管理 2.目录管理 3.vim编辑器 4.文件归档与压缩
⑤.1.账号管理 2.权限管理
⑥.1.RPM包安装 2.YUM安装 3.源代码安装
⑦.1.基本磁盘分区操作(fdisk与parted、MBR与GPT) 2.LVM卷基本操作(原理、创建、删除、扩容
⑧.1.进程分类与管理 2.crond计划任务
⑨.1.了解日志目录 2.认识日志分类
⑩.1.磁盘故障 2.引导分区故障 3.grub故障 4.root密码破解
①.ASA防火墙基础:1.ASA防火墙的作用 2.ASA防火墙模拟器 3.ASA防火墙基本配置 4.ASA远程管理
②.IPsecVPN基础配置:1.VPN概述 2.VPN技术介绍 3.IPsecVPN 4.配置与实现
③.IPsecVPN在ASA防火墙中的实现配置:1.IPsecVPN故障排查 2.ASA中配置IPsecVPN
④.IDS入侵检测:1.IDS组件 2.IDS安全策略 3.IDS检测技术 4.IDS检测方法 第18-25天
⑤.IPS入侵防御:1.网络安全介绍 2.IPS防御技术 3.IPS防御系统类型 第18-25天
⑥.WAF防火墙:1.web应用防火墙简介 2.web应用防火墙工作原理 3.web应用防火墙功能 4.应用场景
①.HTML DIV+CSS
②.JavaScript基础
③.PHP入门到实战写前端+后端项目
python入门到实战写①实用型脚本编写爬虫脚本、②多线程主机存活测试脚本、③端口扫描脚本
web安全简史、HTTP协议、URL简介、scheme协议、HTTP请求与响应、消息头、HTTP方法、状态码 、burp suite proxy模块的工作原理与使用方法、repeater模块的工作原理与使用方法
①、SQL注入原理、SQL注入危害、SQL注入分类和利用、SQL注入挖掘以及防御
②、联合查询注入
③、报错型注入、布尔型注入、时间注入、宽字节注入、
④、SQL注入靶场练习
① 、sqlmap简介、sqlmap原理与使用、设置HTTP数据包相关参数、使用shell参数
②、修改中国菜刀、绕过安全狗以及云盾的拦截
③、xise菜刀、冰蝎、蚁剑等WEB权限维持工具的原理与应用
①、文件上传漏洞的概述、文件上传原理、文件上传危害、文件上传分类和利用、文件上传挖掘以及防御
②、前端绕过、服务端验证绕过、配合解析漏洞突破上传、编辑器漏洞
6、文件包含漏洞:
文件包含漏洞的概述、文件包含原理、文件包含危害、文件包含分类和利用、文件包含挖掘以及防御
①、XSS漏洞的概述、XSS原理、XSS危害、XSS分类和利用、XSS挖掘以及防御
②、同源策略
③、反射型、存储型、DOM型、flash型
④、XSS手动挖掘
⑤、XSS编码问题以及绕过
⑥、XSS靶场练习
⑦、XSS平台的搭建
①、CSRF漏洞的概述、CSRF原理、CSRF危害、CSRF分类和利用、CSRF挖掘以及防御
②、SSRF漏洞的概述、SSRF原理、SSRF危害、SSRF分类和利用、SSRF挖掘以及防御
①、任意文件查看与下载漏洞的概述、原理、危害、分类和利用、挖掘以及防御
①、任意代码执行漏洞的概述、原理、危害、分类和利用、挖掘以及防御
②、eval()函数漏洞利用
③、prep replace+/e利用
④、相关参考
①、命令执行漏洞的概述、原理、危害、分类和利用、挖掘以及防御
②、PHP中相关函数、system、exec、shell exec、passthru、popen、proc popen
①、编写php反序列化代码
①、0元支付漏洞、密码找回逻辑漏洞、密码修改逻辑漏洞、越权漏洞
②、实战、突破某动漫网站限制观看所有漫画
①、敏感信息泄漏概述、危害、分类和利用
②、whatweb、BBScan、Weakfilescan、工具的使用
③、实战演练之信息泄露漫画随便看
①、appscan工具的安装、破解、使用
②、nessus工具工具的安装、破解、使用
③、awvs工具的安装、破解、使用
④、御剑、子域名爆破、DirBuster工具的安装、破解、使用
⑤、nmap安装、使用、各参数详细介绍、批量扫描
⑥、hydra暴力破解工具的使用、批量破解
①、权限提升概述、原理
②、水平权限提升、垂直权限提升、主机权限提升、提权方式与操作系统漏洞
③、第三方服务提权、FTP、MSSQL、MYSQL,redis提权
④、常用CMD命令、导出主机密码、导出密码hash、开启3389、端口转发、木马种植
⑤、代理软件、Linux权限提升、反弹shell、交互的bash、SSH反向连接
⑥、webshell root 权限
①、kali linux 入侵内网
②、mimikatz
①、docker安装
②、docker概念讲解、docker镜像、docker容器
③、使用docker搭建kalilinux及实验环境
④,使用docker搭建各种靶机
①、weblogic 漏洞环境介绍
②、tomcat漏洞环境介绍
③、jboss漏洞环境介绍
④、使用eclipse和tomcat搭建strtus2漏洞演示环境
①、手机app抓包实验、一键签到实验
②、暴力破解实验
③、敏感信息泄露
④、看某平台妹子详细信息"
①、业务逻辑漏洞的概述、原理、危害、分类和利用、挖掘以及防御
①、metasploit 简介,基础
②、metasploit扫描模块、暴力破解模块的应用
③、实验:
ms08-067、永恒之蓝ms17-010、钓鱼、鱼叉攻击、PHP CGI漏洞利用、震网三代、远程桌面漏洞、网站挂马抓鸡原理等一些CVE-实验等
④、metasploit 信息收集
⑤、metasploit 权限提升
⑥、metasploit 后门,内网攻击
⑦、metasploit 域渗透实例演示
①、powershell 简介
②、powersploit 工具安装使用
③、empire 工具安装使用
④、Nishang 工具安装使用
①、cobaltstrike 基于docker的安装方法
②、cobaltstrike 监听器及payload生成
③、cobaltstrike 远程管理
④、cobaltstrike 与 metasploit联动
⑤、cobalstrike 代理
⑥、cobalstrike 持久化控制
①、LCX
②、nc反弹
③、EarthWorm
④、proxychains
⑤、ngrok
⑥、 reGeorgSocksProxy.py
⑦、meterpreter porfwd
⑧、htran
①、webshell操作流程
②、工具和软件的使用
③、webshell预防与查杀
①、网络安全等级保护工作概述
②、信息系统定级备案工作
③、等级保护2.0测评解读(安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心测评讲解)
④、等保测评项目案例全流程介绍 5、网络安全等级测评报告编制讲解
①、范围
②、规范
③、术语
④、风险评估框架
⑤、实施
⑥、信息系统生命周期各阶段的风险评估
⑦、自评估、检查评估
企业服务器被入侵紧急处理流程和手段 应急响应流程 准备-->检测-->抑制-->根除-->恢复-->总结 启明星辰应急响应大咖来校分享应急响应案例
①、出题,解题实战
①、天融信项目实战渗透报告编写
①、企业环境下渗透测试流程实训
②、补天众测实战
③、漏洞盒子渗透实战
④、综合靶机实战
⑤、企业项目实战
①、thinkPHP等框架代码审计
②、实战cms代码审计
③、java代码审计
④、CNVD提交
如您觉得本文有用,请点赞或推荐给朋友哦~
标签:培训班,渗透,测试
