第一天

安全編碼概論

SEI CERT安全編碼原則

1.安全編碼十大基本原則：

1)驗證輸入 2)注意編譯器警告 3)符合安全策略的安全架構和設計 4)保持代碼簡單

5)默認拒絕 6)堅持最小權限原則 7)清理發送到其它系統的數據 8)深度防御

9)采用有效的檢測技術 10)采用安全編碼標準

2.推薦安全編碼實踐：

1)定義安全需求 2)進行威脅建模 3)盡早進行安全測試 4)盡可能多的進行安全測試

SEI CERT Java安全編碼規范

3.通用安全編碼原則

4.Java安全編碼規范：

1)輸入驗證和數據凈化（IDS） 2)聲明和初始化（DCL） 3)表達式（EXP）

4)類型與運算（NUM） 5)面向對象（OBJ） 6)方法（MET） 7)異常行為（ERR）

8)可見性和原子性（VNA） 9)鎖（LCK） 10)線程API（THI） 11)線程池（TPS）

12)與線程安全相關的其他規則（TSM） 13)輸入輸出（FIO） 14)序列化（SER）

15)平臺安全性（SEC） 16)運行環境（ENV） 17)Java本地接口（JNI）

18)其他（MSC） 19)安卓（DRD）

WEB工程代碼審計

1)SQL注入 2)命令注入 3)XML注入 4)XSS跨站腳本 5)XML外部實體(XXE)

6)不安全的反序列化 7)不正確的直接對象引用 8)錯誤的認證和會話管理

9)跨站請求偽造CSRF及SSRF 10)敏感數據泄露 11)缺少功能層面的訪問控制

12)安全配置錯誤 13)不足的日志記錄和監控 14)線程安全問題

15)文件上傳和下載 16)不安全的加密存儲和傳輸

Java代碼審計實例

1)參數化查詢的方法正確和錯誤的使用 2)輸入和輸出驗證錯誤

3)敏感數據（手機驗證碼）泄露 4)密碼找回漏洞 5)任意用戶注冊

6)錯誤的邏輯判斷條件 7)萬能驗證碼 8)用戶權限控制錯誤

9)直接構造數據包訪問頁面功能 10)敏感信息（SMSSDK TOKEN）泄露 11)TOP10漏洞

第二天

軟件開發安全生命周期

1)了解安全需求的來源 2)了解安全需求分析的方法 3)了解威脅建模的方法

4)了解軟件成熟度的模型 5)了解軟件開發生命周期的概念 6)了解安全架構設計

7)了解代碼安全測試 8)了解模糊測試和滲透測試 9)了解ASVS

10)了解安全編碼規范 11)了解開發安全管理

安全軟件開發生命周期管控介紹

應用系統安全需求分析與設計

1)介紹應用系統安全需求分析方法 2)介紹應用系統安全設計方法

3)介紹應用系統安全需求與設計管控措施

應用系統安全開發與測試

1)介紹應用系統安全開發最佳實踐 2)介紹應用系統安全測試方法

3)介紹應用系統安全開發與測試框架 4)介紹應用系統安全開發與測試管控措施

應用系統安全上線與運維

1)介紹應用系統安全上線環境要求 2)介紹應用系統安全運維要求

3)介紹應用系統SOC平臺應用技術 4)介紹集中認證，賬戶管理，審計平臺技術

5)代碼安全與開發安全管理

安全開發基礎概念和安全開發整體實施概念

應用程序安全驗證標準

1)安全架構、設計與威脅建模（Architecture,design and threat modelling）

2)身份鑒別（Authentication） 3)會話管理（Session Management）

4)訪問控制（Access Control） 5)惡意輸入處理（Malicious input handling）

6)加密支撐組件（Cryptography at rest）

7)錯誤管理及記錄（Error Handling and Logging）

8)數據保護（Data Protection） 9)通訊相關（Communications）

10)HTTP安全配置(HTTP Security configuration)

11)惡意代碼控制（Malicious Controls） 12)業務邏輯（Business logic）

13)文件和資源調用安全（File and resources）

14)移動安全（Mobile Security） 15)Web服務（Web services NEW for 3.0）

16)安全配置(security Configuration NEW for 3.0)

APP移動應用安全開發指南

1)移動應用安全測試指南MSTG 2)架構，設計和威脅建模要求 3)數據存儲和隱私要求

4)加密要求 5)身份驗證和會話管理 6)網絡通信要求 7)平臺交互要求

8)代碼質量和編譯要求 9)韌性要求