課程內(nèi)容:?
WEB應(yīng)用安全概論
l? 信息安全發(fā)展趨勢(shì)
l? 應(yīng)用系統(tǒng)介紹
l? 應(yīng)用安全現(xiàn)狀分析
OWASP TOP 10(一)
l? 介紹OWASP TOP 10,配和代碼講解(注:以下包括部分講解問題)
2?? 注入-Injection
2?? 跨站腳本-XSS
2?? 失效的驗(yàn)證和會(huì)話管理
2?? 不安全的直接對(duì)象訪問
2?? 跨站偽造請(qǐng)求-CSRF
OWASP TOP 10(二)
l? 介紹OWASP TOP 10��,配和代碼講解(注:以下包括部分講解問題)
2?? 不正確的安全設(shè)置
2?? 不安全的加密存儲(chǔ)
2?? URL訪問限制缺失
2?? 沒有足夠的傳輸層防護(hù)
2?? 未驗(yàn)證的重定向和跳轉(zhuǎn)
代碼安全測(cè)試介紹
l? 代碼手工測(cè)試介紹以及案例講解
l? 自動(dòng)化測(cè)試介紹及案例講解�,配合相關(guān)工具使用(包括技術(shù)原理分析,誤報(bào)排查)
l? 代碼安全修復(fù)策略分享(安全架構(gòu)���,安全策略評(píng)估�����,適用場(chǎng)景)
代碼安全測(cè)試介紹
l? 代碼手工測(cè)試介紹以及案例講解
l? 自動(dòng)化測(cè)試介紹及案例講解�,配合相關(guān)工具使用(包括技術(shù)原理分析�,誤報(bào)排查)
l? 代碼安全修復(fù)策略分享(安全架構(gòu),安全策略評(píng)估�,適用場(chǎng)景)
框架安全介紹
l? 介紹主流框架的安全機(jī)制(Struts,Spring,Hibernate,Seam)
l? 介紹主流框架的安全缺陷(Struts,Spring,Hibernate)
安全部署
l? Web服務(wù)器安全漏洞和修復(fù)策略
l? 中間件服務(wù)器安全漏洞和修復(fù)策略
l? 數(shù)據(jù)庫服務(wù)器安全漏洞和修復(fù)策略
HTTP協(xié)議及嗅探抓包
l? HTTP協(xié)議簡(jiǎn)介
l? 嗅探抓包及在滲透中的利用(含實(shí)驗(yàn))
軟件安全開發(fā)生命周期(SDL)
l? 介紹安全開發(fā)生命周期整個(gè)過程
2?? 安全需求分析
2?? 安全設(shè)計(jì)
2?? 安全編程
2?? 安全測(cè)試
2?? 安全部署
合作伙伴與授權(quán)機(jī)構(gòu)
總部李老師
