課程介紹
通過本課程的學習��,學員可以加強對信息安全的認識程度���,了解常見的安全技術���,了解應用安全風險及防范措施,以及相關的技術背景知識 ��,了解應用開發(fā)中的威脅分析及系統(tǒng)防御方法�,學習掌握企業(yè)數(shù)據(jù)安全防護,以提升個人安全意識���,提高安全工作效率,為組織運作及客戶服務提供更有效的安全措施���,保護信息不受各種威脅�����。
培訓對象
開發(fā)及運維管理人員���。
課程收益
1) 介紹WEB系統(tǒng)面臨的威脅,包括:SQL注入��、XSS�����、SCRF等主要安全漏洞特點與防護措施�;
2) 介紹業(yè)界對WEB應用系統(tǒng)的安全標準與評測手段�、工具等描述WEB應用系統(tǒng)的整體安全需求��,從網(wǎng)絡架構描述構建全套WEB應用系統(tǒng)的安全防護與技術解決方案;
3) 了解Fortify代碼分類��,初步掌握Fortify的使用��,并能夠人工分析掃描結果����,排除誤報信息�����,通過策略調(diào)整,降低漏報率和誤報率�。通過某虛擬銀行業(yè)務測試,掌握基于字典的暴力表單破解,驗證碼繞過等常見測試手段�;
4) 通過對常見操作系統(tǒng),數(shù)據(jù)庫����,Web服務器的安全配置的講解,掌握如何提高服務器的安全水平��;
5) 通過對測試指南的解讀����,掌握需要測試的對象����,了解可能的測試方法,和工具��;
6) 通過了解網(wǎng)站的基礎安全管理和安全事件的處理�,掌握網(wǎng)站安全的基本手段和技術以及在日常管理中需要注意的相關問題。
知識概要
-- WEB系統(tǒng)安全威脅�����;
-- WEB系統(tǒng)安全防護;
-- WEB代碼規(guī)范與相關工具介紹�;
-- 源代碼測試工具與Web漏洞挖掘工具�����;
-- 服務器安全配置���;
-- 安全測試指南V4�����;
-- 網(wǎng)站安全管理��。
課程大綱
WEB系統(tǒng)安全威脅
WASC威脅分類介紹
OWASP Top10 介紹
SQL注入漏洞原理����、危害及防御措施
Web威脅總覽
WEB系統(tǒng)安全防護
Web應用系統(tǒng)架構安全需求
Web應用系統(tǒng)安全設計需求
Web應用系統(tǒng)上線及運維安全需求
Secure SDLC簡介
WEB代碼規(guī)范與相關工具介紹
OWASP安全編碼規(guī)范介紹
OWASP測試指南簡介��,詳細介紹常用的工具
ISO相關標準簡介(ISO27034)
常見黑盒掃描工具簡介(APPSCAN,WebInspect����,WVS,Appspider)
常見白盒掃描工具簡介(Fortify,checkMax)
源代碼測試工具與Web漏洞挖掘工具
Fortify介紹
Fortify源代碼掃描演示
Fortify掃描報告分析
BurpSuite工具使用
ZAP工具使用
服務器安全配置
Windows服務器安全配置
Linux服務器安全配置
Web服務器安全配置
數(shù)據(jù)庫服務器安全配置
安全測試指南V4
安全測試原則
典型的SDLC測試流程
Web應用安全測試主要測試內(nèi)容
安全測試工具和平臺介紹
網(wǎng)站安全管理
網(wǎng)站安全基本配置
網(wǎng)站安全管理
網(wǎng)站安全事件基本處理流程
認證過程
無認證考試
開班信息
暫無開班信息