WEB安全开发实战培训

课程介绍

通过本课程的学习,学员可以加强对信息安全的认识程度,了解常见的安全技术,了解应用安全风险及防范措施,以及相关的技术背景知识 ,了解应用开发中的威胁分析及系统防御方法,学习掌握企业数据安全防护,以提升个人安全意识,提高安全工作效率,为组织运作及客户服务提供更有效的安全措施,保护信息不受各种威胁。

知识概要

时间

内容

培训对象

开发及运维管理人员

日期

分割

主题

知识点

备注

 

第一天

应用开发安全模块一

WEB系统安全威胁

1、WASC威胁分类介绍

2、OWASP Top10 介绍

3、SQL注入漏洞原理、危害及防御措施

4、XSS漏洞原理、危害及防御措施

5、Top10其他漏洞原理,危害及防御措施

6、Web威胁总览

介绍WEB系统面临的威胁,包括:SQL注入、XSS、SCRF等主要安全漏洞特点与防护措施。

应用开发安全模块二

WEB系统安全防护

1、Web应用系统架构安全需求

2、Web应用系统安全设计需求

3、Web应用系统开发安全需求

4、Web应用系统测试安全需求

5、Web应用系统上线及运维安全需求

6、Secure SDLC简介

描述WEB应用系统的整体安全需求,从网络架构描述构建全套WEB应用系统的安全防护与技术解决方案。

应用开发安全模块三

WEB代码规范与相关工具介绍

1、OWASP安全编码规范介绍

2、OWASP测试指南简介,详细介绍常用的工具。

3、ISO相关标准简介(ISO27034)

4、常见黑盒扫描工具简介(APPSCAN,WebInspect,WVS,Appspider)

5、常见白盒扫描工具简介(Fortify,checkMax)

介绍业界对WEB应用系统的安全标准与评测手段、工具等

第二天

应用开发安全模块四

源代码测试工具与Web漏洞挖掘工具

1、Fortify介绍

2、Fortify源代码扫描演示

3、Fortify扫描报告分析

4、BurpSuite工具使用

5、ZAP工具使用

了解Fortify代码分类,初步掌握Fortify的使用,并能够人工分析扫描结果,排除误报信息,通过策略调整,降低漏报率和误报率。

通过某虚拟银行业务测试,掌握基于字典的暴力表单破解,验证码绕过等常见测试手段。

应用开发安全模块五

服务器安全配置

1、Windows服务器安全配置

2、Linux服务器安全配置

3、Web服务器安全配置

4、数据库服务器安全配置

通过对常见操作系统,数据库,Web服务器的安全配置的讲解,掌握如何提高服务器的安全水平。

应用开发安全模块六

安全测试指南V4

1、安全测试原则

2、典型的SDLC测试流程

3、Web应用安全测试主要测试内容

4、安全测试工具和平台介绍

通过对测试指南的解读,掌握需要测试的对象,了解可能的测试方法,和工具。

应用开发安全模块七

网站安全管理

1、 网站安全基本配置

2、 网站安全管理

3、 网站安全事件基本处理流程

通过了解网站的基础安全管理和安全事件的处理,掌握网站安全的基本手段和技术以及在日常管理中需要注意的相关问题

培训对象

开发及运维管理人员