課程內(nèi)容:?
WEB應(yīng)用安全概論
l? 信息安全發(fā)展趨勢
l? 應(yīng)用系統(tǒng)介紹
l? 應(yīng)用安全現(xiàn)狀分析
OWASP TOP 10(一)
l? 介紹OWASP TOP 10,配和代碼講解(注:以下包括部分講解問題)
2?? 注入-Injection
2?? 跨站腳本-XSS
2?? 失效的驗證和會話管理
2?? 不安全的直接對象訪問
2?? 跨站偽造請求-CSRF
OWASP TOP 10(二)
l? 介紹OWASP TOP 10,配和代碼講解(注:以下包括部分講解問題)
2?? 不正確的安全設(shè)置
2?? 不安全的加密存儲
2?? URL訪問限制缺失
2?? 沒有足夠的傳輸層防護
2?? 未驗證的重定向和跳轉(zhuǎn)
代碼安全測試介紹
l? 代碼手工測試介紹以及案例講解
l? 自動化測試介紹及案例講解,配合相關(guān)工具使用(包括技術(shù)原理分析,誤報排查)
l? 代碼安全修復(fù)策略分享(安全架構(gòu),安全策略評估,適用場景)
代碼安全測試介紹
l? 代碼手工測試介紹以及案例講解
l? 自動化測試介紹及案例講解,配合相關(guān)工具使用(包括技術(shù)原理分析,誤報排查)
l? 代碼安全修復(fù)策略分享(安全架構(gòu),安全策略評估,適用場景)
框架安全介紹
l? 介紹主流框架的安全機制(Struts,Spring,Hibernate,Seam)
l? 介紹主流框架的安全缺陷(Struts,Spring,Hibernate)
安全部署
l? Web服務(wù)器安全漏洞和修復(fù)策略
l? 中間件服務(wù)器安全漏洞和修復(fù)策略
l? 數(shù)據(jù)庫服務(wù)器安全漏洞和修復(fù)策略
HTTP協(xié)議及嗅探抓包
l? HTTP協(xié)議簡介
l? 嗅探抓包及在滲透中的利用(含實驗)
軟件安全開發(fā)生命周期(SDL)
l? 介紹安全開發(fā)生命周期整個過程
2?? 安全需求分析
2?? 安全設(shè)計
2?? 安全編程
2?? 安全測試
2?? 安全部署
合作伙伴與授權(quán)機構(gòu)
總部李老師
