課程介紹
通過本課程的學習,學員可以加強對信息安全的認識程度,了解常見的安全技術,了解應用安全風險及防范措施,以及相關的技術背景知識 ,了解應用開發中的威脅分析及系統防御方法,學習掌握企業數據安全防護,以提升個人安全意識,提高安全工作效率,為組織運作及客戶服務提供更有效的安全措施,保護信息不受各種威脅。
培訓對象
開發及運維管理人員。
課程收益
1) 介紹WEB系統面臨的威脅,包括:SQL注入、XSS、SCRF等主要安全漏洞特點與防護措施;
2) 介紹業界對WEB應用系統的安全標準與評測手段、工具等描述WEB應用系統的整體安全需求,從網絡架構描述構建全套WEB應用系統的安全防護與技術解決方案;
3) 了解Fortify代碼分類,初步掌握Fortify的使用,并能夠人工分析掃描結果,排除誤報信息,通過策略調整,降低漏報率和誤報率。通過某虛擬銀行業務測試,掌握基于字典的暴力表單破解,驗證碼繞過等常見測試手段;
4) 通過對常見操作系統,數據庫,Web服務器的安全配置的講解,掌握如何提高服務器的安全水平;
5) 通過對測試指南的解讀,掌握需要測試的對象,了解可能的測試方法,和工具;
6) 通過了解網站的基礎安全管理和安全事件的處理,掌握網站安全的基本手段和技術以及在日常管理中需要注意的相關問題。
知識概要
-- WEB系統安全威脅;
-- WEB系統安全防護;
-- WEB代碼規范與相關工具介紹;
-- 源代碼測試工具與Web漏洞挖掘工具;
-- 服務器安全配置;
-- 安全測試指南V4;
-- 網站安全管理。
課程大綱
WEB系統安全威脅
WASC威脅分類介紹
OWASP Top10 介紹
SQL注入漏洞原理、危害及防御措施
Web威脅總覽
WEB系統安全防護
Web應用系統架構安全需求
Web應用系統安全設計需求
Web應用系統上線及運維安全需求
Secure SDLC簡介
WEB代碼規范與相關工具介紹
OWASP安全編碼規范介紹
OWASP測試指南簡介,詳細介紹常用的工具
ISO相關標準簡介(ISO27034)
常見黑盒掃描工具簡介(APPSCAN,WebInspect,WVS,Appspider)
常見白盒掃描工具簡介(Fortify,checkMax)
源代碼測試工具與Web漏洞挖掘工具
Fortify介紹
Fortify源代碼掃描演示
Fortify掃描報告分析
BurpSuite工具使用
ZAP工具使用
服務器安全配置
Windows服務器安全配置
Linux服務器安全配置
Web服務器安全配置
數據庫服務器安全配置
安全測試指南V4
安全測試原則
典型的SDLC測試流程
Web應用安全測試主要測試內容
安全測試工具和平臺介紹
網站安全管理
網站安全基本配置
網站安全管理
網站安全事件基本處理流程
認證過程
無認證考試
開班信息
暫無開班信息