web應(yīng)用安全架構(gòu)設(shè)計培訓(xùn)
web應(yīng)用安全架構(gòu)設(shè)計培訓(xùn)
課程簡介：
Web網(wǎng)站的攻擊手段有哪些
如何預(yù)先檢查可能存在的網(wǎng)站漏洞
如何建立完整的web網(wǎng)站防護措施
如何監(jiān)視并報告當(dāng)前正在發(fā)生的攻擊
當(dāng)攻擊發(fā)生的時候，如何進行內(nèi)層防護web網(wǎng)站
如何建立web網(wǎng)站資源的安全配置
如何進行安全連接加密
如何防止SQL注入攻擊
如何防止阻塞攻擊
如何防止密碼破譯
如何防止木馬程序的注入
培訓(xùn)內(nèi)容：
Web 應(yīng)用的體系結(jié)構(gòu)和安全相關(guān)的問題
部署考慮
輸入驗證
身份驗證
授權(quán)
配置管理
敏感數(shù)據(jù)
會話管理
加密
參數(shù)操作
異常管理
審核和記錄
案例示范：
識別安全問題
如何識別風(fēng)險
如何保護資源
如何構(gòu)建應(yīng)用或服務(wù)級防御機制
如何實施認(rèn)證與授權(quán)
如何防止身份盜用
如何定制訪問控制策略
如何抵御來自內(nèi)部和外部的攻擊
如何檢測惡意代碼
如何克服服務(wù)中斷
如何評估和測試防范措施
如何監(jiān)視和審計威脅與弱點
案例實踐：
安全分析
各類攻擊案例中攻擊位置剖析
業(yè)務(wù)安全需求分析
環(huán)境安全需求分析
使用安全檢查清單(Security Check List )標(biāo)識安全點
威脅剖析與安全評估
安全風(fēng)險分析
權(quán)衡分析
案例實踐：
安全設(shè)計
安全統(tǒng)一過程
安全的設(shè)計規(guī)范（金融行業(yè)PKI設(shè)計安全規(guī)范）
安全設(shè)計的視角
安全設(shè)計的模式
安全模型評估
案例實踐：
Web層安全模式
認(rèn)證實施器
授權(quán)實施器
攔截驗證器
SecureBaseAction
安全日志器（海量日志分析模型）
安全管道
安全服務(wù)代理
攔截Web代理
案例實踐：某系統(tǒng)web層安全設(shè)計
業(yè)務(wù)層安全模式
審計攔截器
容器管理的安全
動態(tài)服務(wù)管理
混淆傳輸對象
策略代理
安全服務(wù)門面
安全會話對象
案例實踐：某系統(tǒng)業(yè)務(wù)層安全設(shè)計
Web服務(wù)安全模式
消息攔截器網(wǎng)關(guān)
消息檢查器
安全消息路由器
案例實踐：某系統(tǒng)web安全服務(wù)模式
身份管理安全模式
斷言構(gòu)造器模式
單點登錄代理
憑證令牌化器模式
案例實踐：某系統(tǒng)身份管理安全模式
基于代碼安全性設(shè)計
代碼安全模型（代碼脆弱性分析）
物理模塊安全模型（防止非法修改）
資源使用安全模型
設(shè)計軟件安全編碼規(guī)范
代碼安全分析工具
案例實踐：某系統(tǒng)基于代碼安全性設(shè)計
軟件安全測試
軟件安全測試用例分析與設(shè)計
軟件安全的靜態(tài)測試
測試軟件安全漏洞的有效方法
安全測試的工具
案例實踐：某系統(tǒng)安全測試
軟件研發(fā)過程安全管理
軟件研發(fā)過程文檔安全管理（防止竊取）
Code Review中安全檢查
研發(fā)人員安全能力方案
制定安全規(guī)范
案例實踐：某系統(tǒng)軟件研發(fā)過程安全管理
?
?