第一天

安全編碼概論

SEI CERT安全編碼原則

1.安全編碼十大基本原則：

1)驗證輸入 2)注意編譯器警告 3)符合安全策略的安全架構(gòu)和設(shè)計 4)保持代碼簡單

5)默認拒絕 6)堅持最小權(quán)限原則 7)清理發(fā)送到其它系統(tǒng)的數(shù)據(jù) 8)深度防御

9)采用有效的檢測技術(shù) 10)采用安全編碼標(biāo)準

2.推薦安全編碼實踐：

1)定義安全需求 2)進行威脅建模 3)盡早進行安全測試 4)盡可能多的進行安全測試

SEI CERT Java安全編碼規(guī)范

3.通用安全編碼原則

4.Java安全編碼規(guī)范：

1)輸入驗證和數(shù)據(jù)凈化（IDS） 2)聲明和初始化（DCL） 3)表達式（EXP）

4)類型與運算（NUM） 5)面向?qū)ο螅∣BJ） 6)方法（MET） 7)異常行為（ERR）

8)可見性和原子性（VNA） 9)鎖（LCK） 10)線程API（THI） 11)線程池（TPS）

12)與線程安全相關(guān)的其他規(guī)則（TSM） 13)輸入輸出（FIO） 14)序列化（SER）

15)平臺安全性（SEC） 16)運行環(huán)境（ENV） 17)Java本地接口（JNI）

18)其他（MSC） 19)安卓（DRD）

WEB工程代碼審計

1)SQL注入 2)命令注入 3)XML注入 4)XSS跨站腳本 5)XML外部實體(XXE)

6)不安全的反序列化 7)不正確的直接對象引用 8)錯誤的認證和會話管理

9)跨站請求偽造CSRF及SSRF 10)敏感數(shù)據(jù)泄露 11)缺少功能層面的訪問控制

12)安全配置錯誤 13)不足的日志記錄和監(jiān)控 14)線程安全問題

15)文件上傳和下載 16)不安全的加密存儲和傳輸

Java代碼審計實例

1)參數(shù)化查詢的方法正確和錯誤的使用 2)輸入和輸出驗證錯誤

3)敏感數(shù)據(jù)（手機驗證碼）泄露 4)密碼找回漏洞 5)任意用戶注冊

6)錯誤的邏輯判斷條件 7)萬能驗證碼 8)用戶權(quán)限控制錯誤

9)直接構(gòu)造數(shù)據(jù)包訪問頁面功能 10)敏感信息（SMSSDK TOKEN）泄露 11)TOP10漏洞

第二天

軟件開發(fā)安全生命周期

1)了解安全需求的來源 2)了解安全需求分析的方法 3)了解威脅建模的方法

4)了解軟件成熟度的模型 5)了解軟件開發(fā)生命周期的概念 6)了解安全架構(gòu)設(shè)計

7)了解代碼安全測試 8)了解模糊測試和滲透測試 9)了解ASVS

10)了解安全編碼規(guī)范 11)了解開發(fā)安全管理

安全軟件開發(fā)生命周期管控介紹

應(yīng)用系統(tǒng)安全需求分析與設(shè)計

1)介紹應(yīng)用系統(tǒng)安全需求分析方法 2)介紹應(yīng)用系統(tǒng)安全設(shè)計方法

3)介紹應(yīng)用系統(tǒng)安全需求與設(shè)計管控措施

應(yīng)用系統(tǒng)安全開發(fā)與測試

1)介紹應(yīng)用系統(tǒng)安全開發(fā)最佳實踐 2)介紹應(yīng)用系統(tǒng)安全測試方法

3)介紹應(yīng)用系統(tǒng)安全開發(fā)與測試框架 4)介紹應(yīng)用系統(tǒng)安全開發(fā)與測試管控措施

應(yīng)用系統(tǒng)安全上線與運維

1)介紹應(yīng)用系統(tǒng)安全上線環(huán)境要求 2)介紹應(yīng)用系統(tǒng)安全運維要求

3)介紹應(yīng)用系統(tǒng)SOC平臺應(yīng)用技術(shù) 4)介紹集中認證，賬戶管理，審計平臺技術(shù)

5)代碼安全與開發(fā)安全管理

安全開發(fā)基礎(chǔ)概念和安全開發(fā)整體實施概念

應(yīng)用程序安全驗證標(biāo)準

1)安全架構(gòu)、設(shè)計與威脅建模（Architecture,design and threat modelling）

2)身份鑒別（Authentication） 3)會話管理（Session Management）

4)訪問控制（Access Control） 5)惡意輸入處理（Malicious input handling）

6)加密支撐組件（Cryptography at rest）

7)錯誤管理及記錄（Error Handling and Logging）

8)數(shù)據(jù)保護（Data Protection） 9)通訊相關(guān)（Communications）

10)HTTP安全配置(HTTP Security configuration)

11)惡意代碼控制（Malicious Controls） 12)業(yè)務(wù)邏輯（Business logic）

13)文件和資源調(diào)用安全（File and resources）

14)移動安全（Mobile Security） 15)Web服務(wù)（Web services NEW for 3.0）

16)安全配置(security Configuration NEW for 3.0)

APP移動應(yīng)用安全開發(fā)指南

1)移動應(yīng)用安全測試指南MSTG 2)架構(gòu)，設(shè)計和威脅建模要求 3)數(shù)據(jù)存儲和隱私要求

4)加密要求 5)身份驗證和會話管理 6)網(wǎng)絡(luò)通信要求 7)平臺交互要求

8)代碼質(zhì)量和編譯要求 9)韌性要求