課程介紹
通過本課程的學習,學員可以加強對信息安全的認識程度�,了解常見的安全技術,了解應用安全風險及防范措施����,以及相關的技術背景知識 ,了解應用開發(fā)中的威脅分析及系統(tǒng)防御方法���,學習掌握企業(yè)數(shù)據(jù)安全防護����,以提升個人安全意識�����,提高安全工作效率,為組織運作及客戶服務提供更有效的安全措施�����,保護信息不受各種威脅���。
培訓對象
開發(fā)及運維管理人員��。
課程收益
1) 介紹WEB系統(tǒng)面臨的威脅���,包括:SQL注入、XSS�、SCRF等主要安全漏洞特點與防護措施;
2) 介紹業(yè)界對WEB應用系統(tǒng)的安全標準與評測手段��、工具等描述WEB應用系統(tǒng)的整體安全需求�,從網(wǎng)絡架構描述構建全套WEB應用系統(tǒng)的安全防護與技術解決方案;
3) 了解Fortify代碼分類�����,初步掌握Fortify的使用���,并能夠人工分析掃描結果�,排除誤報信息,通過策略調整����,降低漏報率和誤報率。通過某虛擬銀行業(yè)務測試�����,掌握基于字典的暴力表單破解�����,驗證碼繞過等常見測試手段����;
4) 通過對常見操作系統(tǒng),數(shù)據(jù)庫���,Web服務器的安全配置的講解���,掌握如何提高服務器的安全水平;
5) 通過對測試指南的解讀����,掌握需要測試的對象,了解可能的測試方法���,和工具�����;
6) 通過了解網(wǎng)站的基礎安全管理和安全事件的處理��,掌握網(wǎng)站安全的基本手段和技術以及在日常管理中需要注意的相關問題��。
知識概要
-- WEB系統(tǒng)安全威脅����;
-- WEB系統(tǒng)安全防護����;
-- WEB代碼規(guī)范與相關工具介紹;
-- 源代碼測試工具與Web漏洞挖掘工具���;
-- 服務器安全配置�����;
-- 安全測試指南V4�;
-- 網(wǎng)站安全管理。
課程大綱
WEB系統(tǒng)安全威脅
WASC威脅分類介紹
OWASP Top10 介紹
SQL注入漏洞原理�����、危害及防御措施
Web威脅總覽
WEB系統(tǒng)安全防護
Web應用系統(tǒng)架構安全需求
Web應用系統(tǒng)安全設計需求
Web應用系統(tǒng)上線及運維安全需求
Secure SDLC簡介
WEB代碼規(guī)范與相關工具介紹
OWASP安全編碼規(guī)范介紹
OWASP測試指南簡介��,詳細介紹常用的工具
ISO相關標準簡介(ISO27034)
常見黑盒掃描工具簡介(APPSCAN,WebInspect����,WVS,Appspider)
常見白盒掃描工具簡介(Fortify,checkMax)
源代碼測試工具與Web漏洞挖掘工具
Fortify介紹
Fortify源代碼掃描演示
Fortify掃描報告分析
BurpSuite工具使用
ZAP工具使用
服務器安全配置
Windows服務器安全配置
Linux服務器安全配置
Web服務器安全配置
數(shù)據(jù)庫服務器安全配置
安全測試指南V4
安全測試原則
典型的SDLC測試流程
Web應用安全測試主要測試內容
安全測試工具和平臺介紹
網(wǎng)站安全管理
網(wǎng)站安全基本配置
網(wǎng)站安全管理
網(wǎng)站安全事件基本處理流程
認證過程
無認證考試
開班信息
暫無開班信息