课程介绍
通过本课程的学习,学员可以加强对信息安全的认识程度,了解常见的安全技术,了解应用安全风险及防范措施,以及相关的技术背景知识 ,了解应用开发中的威胁分析及系统防御方法,学习掌握企业数据安全防护,以提升个人安全意识,提高安全工作效率,为组织运作及客户服务提供更有效的安全措施,保护信息不受各种威胁。
培训对象
开发及运维管理人员。
课程收益
1) 介绍WEB系统面临的威胁,包括:SQL注入、XSS、SCRF等主要安全漏洞特点与防护措施;
2) 介绍业界对WEB应用系统的安全标准与评测手段、工具等描述WEB应用系统的整体安全需求,从网络架构描述构建全套WEB应用系统的安全防护与技术解决方案;
3) 了解Fortify代码分类,初步掌握Fortify的使用,并能够人工分析扫描结果,排除误报信息,通过策略调整,降低漏报率和误报率。通过某虚拟银行业务测试,掌握基于字典的暴力表单破解,验证码绕过等常见测试手段;
4) 通过对常见操作系统,数据库,Web服务器的安全配置的讲解,掌握如何提高服务器的安全水平;
5) 通过对测试指南的解读,掌握需要测试的对象,了解可能的测试方法,和工具;
6) 通过了解网站的基础安全管理和安全事件的处理,掌握网站安全的基本手段和技术以及在日常管理中需要注意的相关问题。
知识概要
-- WEB系统安全威胁;
-- WEB系统安全防护;
-- WEB代码规范与相关工具介绍;
-- 源代码测试工具与Web漏洞挖掘工具;
-- 服务器安全配置;
-- 安全测试指南V4;
-- 网站安全管理。
课程大纲
WEB系统安全威胁
WASC威胁分类介绍
OWASP Top10 介绍
SQL注入漏洞原理、危害及防御措施
Web威胁总览
WEB系统安全防护
Web应用系统架构安全需求
Web应用系统安全设计需求
Web应用系统上线及运维安全需求
Secure SDLC简介
WEB代码规范与相关工具介绍
OWASP安全编码规范介绍
OWASP测试指南简介,详细介绍常用的工具
ISO相关标准简介(ISO27034)
常见黑盒扫描工具简介(APPSCAN,WebInspect,WVS,Appspider)
常见白盒扫描工具简介(Fortify,checkMax)
源代码测试工具与Web漏洞挖掘工具
Fortify介绍
Fortify源代码扫描演示
Fortify扫描报告分析
BurpSuite工具使用
ZAP工具使用
服务器安全配置
Windows服务器安全配置
Linux服务器安全配置
Web服务器安全配置
数据库服务器安全配置
安全测试指南V4
安全测试原则
典型的SDLC测试流程
Web应用安全测试主要测试内容
安全测试工具和平台介绍
网站安全管理
网站安全基本配置
网站安全管理
网站安全事件基本处理流程
认证过程
无认证考试
开班信息
暂无开班信息