课程介绍
通过本课程的学习,学员可以加强对信息△安全的认识程度,了解常见的安全技术,了解应用安全风险及防范措施,以及相关的技术背景知识 ,了解应用开发中的威胁分析及系统防御方法,学习掌握企业数据安全防护,以提升个人安全意识,提高∩安全工作效率,为组织运作及客户服务提供更有效的安全措施,保护信息不受各种威胁。
培训对象
开发及运维管理人员
课程收益
介绍WEB系统面临的威胁,包括:SQL注入、XSS、SCRF等主要安全漏洞特点与防护措施。
介绍业界对WEB应用系统的安全标准与评测手段、工具等描述WEB应用系统的整体安全需求,从网络架构描述构建全套WEB应用系统的安全防护与技术解决方案。
了解Fortify代码分类,初步掌握Fortify的使用,并能够人工分析扫描结果,排除误报信息,通过策略调整,降低漏报率和误报率。通过某虚拟银行业务测试,掌握基于字典的暴力表单破解,验证码绕过等常见测试手段。
通过〓对常见操作系统,数据库,Web服务器的安全配置的讲解,掌握如何提高服务器的安全水平。
通过对测试指南的解读,掌握需要测试的对象,了解可能的测试方法,和工具。
通过了解网站的基础安全管理和安全事件的处理,掌握网站安全的基本手段和技术以及在日常管理中需要注意的相关问题
知识概要
WEB系统安全威胁
WEB系统安全防护
WEB代码规范与相关工具介绍
源代码测试工具与Web漏洞挖掘工具
服务卐器安全配置
安全测试指南V4
网站安全管理
课程大纲
应用开发安全模块一
WEB系统安全威胁
1、WASC威胁分类介绍
2、OWASP Top10 介绍
3、SQL注入漏洞原理、危害及防御→措施
4、Web威胁总览
应用开发安全模块二
WEB系统安全防护
1、Web应用系统架构Ψ安全需求
2、Web应用系统安全设计需求
3、Web应用系统上线及运维安全需求
4、Secure SDLC简介
应用开发安全模块三
WEB代码规范与相关工具介绍
1、OWASP安全编码规范介绍
2、OWASP测试指南简介,详细介绍常用的工具
3、ISO相关标准简介(ISO27034)
4、常见黑盒扫描工具简介(APPSCAN,WebInspect,WVS,Appspider)
5、常见白盒扫描工具简介(Fortify,checkMax)
应用开发安全模块四
源代码测试工具与Web漏洞挖掘工具
1、Fortify介绍
2、Fortify源代码扫描演示
3、Fortify扫描报告分析
4、BurpSuite工具使用
5、ZAP工具使用
应用开发安全模块五
服务※器安全配置
1、Windows服务器安全配置
2、Linux服务器安全配置
3、Web服务器安全配置
4、数据库服务器安全配置
应用开发安全模↑块六
安全测试指南V4
1、安全测试原则
2、典型的SDLC测试流程
3、Web应用安全测试主要测试内容
4、安全测试工具和平台介绍
应用开发安全模块七
网站安全管理
1、网站安全基本配置
2、网站安全管理
3、网站安全事件基本处理流程
认证过程
无认证考试
开班信息
暂无开班信息