WEB網站與應用安全原理培訓
WEB網站與應用安全原理培訓
?
培訓簡介：
Web網站的安全體系框架原理你了解么
如何規劃資源，建立合理的安全防范層次
Web網站的攻擊手段有哪些
如何預先檢查可能存在的網站漏洞
如何建立完整的web網站防護措施
如何監視并報告當前正在發生的攻擊
當攻擊發生的時候，如何進行內層防護web網站
如何建立web網站資源的安全配置
如何進行安全連接加密
如何防止SQL注入攻擊
如何防止阻塞攻擊
如何防止密碼破譯
如何防止木馬程序的注入
如何建立
如何進行安全審計
如何培養人員安全意識
培訓內容：
?
安全意識
安全相關案例解讀
黑客組織：竊取Sun電子郵件 存儲在中國境內
SSL系統遭入侵發布虛假密鑰
RSA高管呼吁采用新的信息安全方法
Oracle周二將發布批量補丁 影響數百款產品
微軟高信度計算
案例討論：2010 最突出的10項安全漏洞
安全原理：威脅建模
標識資源（敏感數據）
創建總體體系結構
分解應用程序標識特權代碼
識別威脅
記錄威脅
評價威脅
練習：對“網銀”系統進行威脅建模
如何檢查web應用漏洞
常見的操作系統漏洞和檢查方法
常見的數據庫漏洞和檢查方法
Web服務漏洞和檢查方法
網絡通信漏洞和檢查方法
配置文件漏洞和檢查方法
其他資源漏洞和檢查方法
常見攻擊工具
Mpack
Neosploit
ZeuS
Nukesploit P4ck
Phoenix
常見安全檢查工具
IBM Rational AppScan
WebInspect
NStalker-WAS
Acunetix Web Vulnerability Scanner
練習：使用AppScan檢查WEB應用安全漏洞
基礎技能
加密解密
散列原理與算法
基于證書的簽名與加密
訪問權限列表（ACL）
安全協議：SSL，IPSec，Kerberos協議
網絡威脅與對策
網絡組件：路由器、防火墻和交換機
信息收集
探查
欺騙
會話劫持
中間人攻擊
練習：使用網絡探測器
主機威脅與對策
病毒、特洛伊木馬和蠕蟲
信息收集
破解密碼
拒絕服務
任意執行代碼
未授權訪問
討論：紅色代碼病毒及其危害
WEB應用常見威脅及其對策
輸入驗證: 緩沖區溢出攻擊
跨站點腳本編寫
SQL注入攻擊
標準化漏洞
身份驗證相關的威脅及其對策
針對授權的威脅及其對策
針對配置管理的威脅及對策
安全的加密
對抗針對操作查詢字符串 的威脅
異常處理
練習：針對“網銀系統”漏洞發起相關攻擊
進行安全審計
使用日志跟蹤安全相關事件
將日志寫入文件/數據庫
使用系統安全日志
做好開發層次安全
代碼訪問安全
用戶驗證
輸入檢查
應用安全規則進行靜態代碼安全隱患分析
線程安全
針對URL授權
序列化/反序列化安全
代碼混淆
練習：1）使用代碼混淆器2）針對“網銀系統”漏洞繼續發起攻擊；3）應用安全規則自查
培養安全意識
建立安全管理和開發、維護規范
及時發現安全事件
按照合理的流程處理安全問題
把安全降低到最小影響
?
?