WAF产品技术支持培训过程

WAF产品技术支持培训过程

文档讲解：

  1. 讲解《WAF产品简介PPT》

  2. 讲解《WAF培训文档PPT》

漏洞扫描软件使用：

  1. WVS

  2. AppScan

  3. X-scan

  4. 选用一款软件，扫描某一网站，并生成报表

SQL注入原理：

  1. Select * from admin;

  2. Select * from news where id=1;

  3. Select * from news where id = 1 and 1=1;

  4. Select * from news where id = 1 and 1=2;

  5. Select * from news where id = 1 and exists(select * from admin);

安全实例：

  0. 注入实例

  1. 啊D注入工具使用

  2. Google语法使用

产品使用：

  1. 搭建网站环境（App-Serv安装，Serv-U安装，上传网站，管理网站）

  2. 部署WAF设备

  3. 使用扫描工具或者手动对已经被保护的站点进行攻击

  4. 查看WAF产品的防护情况

测试报告：

  1. 根据用户环境与需求，基于测试方案模板，制定测试项目

  2. 测试项目确定后，制作测试文档

  3. 根据测试文档，对相关功能逐一进行测试

  4. 最后将测试结果整理后，提交给用户

扫描工具报告：

  1. 开启网站防护功能，使用Appscan对网站进行扫描测试，生成报告。

  2. 关闭网站防护功能，使用Appscan对网站进行扫描测试，生成报告。

  3. 防护前后生成的对比报告，提交用户，并建议用户对报告中的弱点或漏洞进行修复。

WAF产品单项深入学习：

  1. 多种WEB攻击的执行和日志

  2. 多种DOS攻击的执行和日志

  3. WVS，Appcasn 出报告（防护前后）

  4. 全部功能测试与使用

  5. 亲自拿下一个后台

  6. 亲自拿下一个WebShell

  7. 远程OR上面技术支持

  8. FAQ

  9. 需求反馈&Bug反馈