课程

课程介绍

通过本课程的学习,学员可以加强对信息安全的认识程度,了解常见的安全技术,了解应用安全风险及防范措施,以及相关的技术背景知识 ,了解应用开发中的威胁分析及系统防御方法,学习掌握企业数据安全防护,以提升个人安全意识,提高安全工作效率,为组织运作及客户服务提供更有效的安全措施,保护信息不受各种威胁。 

培训对象

开发及运维管理人员

课程收益

介绍WEB系统面临的威胁,包括:SQL注入、XSS、SCRF等主要安全漏洞特点与防护措施。
介绍业界对WEB应用系统的安全标准与评测手段、工具等描述WEB应用系统的整体安全需求,从网络架构描述构建全套WEB应用系统的安全防护与技术解决方案。
了解Fortify代码分类,初步掌握Fortify的使用,并能够人工分析扫描结果,排除误报信息,通过策略调整,降低漏报率和误报率。通过某虚拟银行业务测试,掌握基于字典的暴力表单破解,验证码绕过等常见测试手段。
通过对常见操作系统,数据库,Web服务器的安全配置的讲解,掌握如何提高服务器的安全水平。
通过对测试指南的解读,掌握需要测试的对象,了解可能的测试方法,和工具。
通过了解网站的基础安全管理和安全事件的处理,掌握网站安全的基本手段和技术以及在日常管理中需要注意的相关问题

知识概要

WEB系统安全威胁
WEB系统安全防护
WEB代码规范与相关工具介绍
源代码测试工具与Web漏洞挖掘工具
服务器安全配置
安全测试指南V4
网站安全管理

课程大纲

模块

学习内容

第一天

WEB系统安全威胁

WASC威胁分类介绍

OWASP Top10 介绍

SQL注入漏洞原理、危害及防御措施

XSS漏洞原理、危害及防御措施

Top10其他漏洞原理,危害及防御措施

Web威胁总览

WEB系统安全防护

Web应用系统架构安全需求

Web应用系统安全设计需求

Web应用系统开发安全需求

Web应用系统测试安全需求

Web应用系统上线及运维安全需求

Secure SDLC简介

WEB代码规范与相关工具介绍

OWASP安全编码规范介绍

OWASP测试指南简介,详细介绍常用的工具

ISO相关标准简介(ISO27034)

常见黑盒扫描工具简介

常见白盒扫描工具简介

第二天

源代码测试工具与Web漏洞挖掘工具

Fortify介绍

Fortify源代码扫描演示

Fortify扫描报告分析

BurpSuite工具使用

ZAP工具使用

服务器安全配置

Windows服务器安全配置

Linux服务器安全配置

Web服务器安全配置

数据库服务器安全配置

安全测试指南V4

安全测试原则

典型的SDLC测试流程

Web应用安全测试主要测试内容

安全测试工具和平台介绍

网站安全管理

网站安全基本配置

网站安全管理

网站安全事件基本处理流程

认证过程

无认证考试

开班信息

暂无开班信息