1，安全都涉及什么

2，如何来预防安全事故

3，安全测试的目标和范围

4，安全原理：威胁建模标识资源（敏感数据）

5，创建总体体系结构

6，分解应用程序标识特权代码

7，识别威胁、记录威胁、评价威胁

1，列出资源：业务数据，应用程序，服务，配置数据，页面

2，建立资源分布图，确定资源位置

3，确定资源信任边界

4，确定资源范围

5，建立资源防范目录

1，常见的数据库漏洞和检查方法

2，Web服务漏洞和检查方法

3，网络通信漏洞和检查方法

4，配置文件漏洞和检查方法

5，其他资源漏洞和检查方法

6，设计安全测试用例确定安全测试点

7，预见可能的入侵事件

8，分析入侵事件的触发条件

1，常见攻击工具Mpack

2，Neosploit

3，ZeuS

4，NukesploitP4ck

5，Phoenix

6，常见安全检查工具IBMRationalAppScan

7，WebInspect

8，NStalker-WAS

9，AcuixWebVulnerabilityScanner（WVS)

10，基础常用工具：明小子、御剑、穿山甲、中国菜刀等

1，信息收集

2，探查、踩点

3，欺骗

4，会话劫持

5，中间人攻击

6，安全检测、病毒、特洛伊和蠕虫

7，密码

8，拒绝服务

9，任意执行代码

10，未访问

1，标准化漏洞

2，身份验证相关的威胁及其对策

3，针对的威胁及其对策

4，针对配置管理的威胁及对策

5，安全的加密

6，对抗针对操作

7，异常处理

8，缓冲区溢出攻击

1，将日志写入文件/数据库

2，使用系统安全日志

3，日志异常与跟踪

4，调查取证

1，本地Web环境搭建：通过IIS搭建asp.、php、jsp、ftp环境

2，信息收集探测与扫描：利用googlehack、Nmap、Scscannrr、WVS,IBMappScan进行探测与扫描；

3，入侵方式与防御：SQL注入、二次注入、绕过,XSS、文件上传、php碰撞、脚本攻击、编辑器漏洞、中转注入、远程代码执行、包含漏洞、遍历目录、暴力、终端绕过与突破、旁注与C段、FTP弱口令、msf渗透、数据库脱裤与、提权；

4，漏洞挖掘与0day

5，社会工程学

6，怎么样才能使您的服务器与WEB站点更安全；

7，内网渗透测试，网络异常数据分析，内网渗透测试原理与实践；