求知 文章 文库 Lib 视频 Code iProcess 课程 认证 咨询 工具 火云堂 讲座吧   成长之路  
会员   
 
 
 
全部课程 | 技术学院 | 管理学院 | 嵌入式学院 | 在线学院  
成功案例   品质保证  电话 English
追随技术信仰

随时听讲座
每天看新闻
 
   
成功案例
航天科工 物联网安全理论与技
GE 区块链技术与实现
中国银行 信息安全技术及深度
北京和利 性能和安全性
北京 Web应用安全架构、入侵

相关课程  
WEB网站与应用安全原理与实践
web应用安全架构设计
创建安全的Java/J2EE Web代码
注册信息安全专业人员(CISP)
信息安全管理
信息安全问题与防范
 

WEB网站与应用安全原理与实践     1735 次浏览    233 次 
 
专家讲师:刘老师,某知名互联网公司安全专家,精通web站点安全设计与防护。
时间地点:北京;上海 深圳 根据报名开班
课程费用:5000元/人 (学生3折),详见 公开课学习手册
企业内训: 可以根据企业需求,定制内训,详见 内训学习手册
 

很多关键业务都是通过web网站提供互联网服务,而互联网的公开性也造成了网站很容易受到攻击,如何建立web应用安全,已经成为web应用的最关键质量。本课程适应大家的迫切需求,提供web应用安全的整体解决方案。

本课程结合典型的安全危机事件实例,让学员全面了解安全相关的理论、技术和工具。包括

  1. 安全基于威胁建模的安全防范原理、
  2. WEB应用常见威胁及其对策、
  3. 安全相关工具(黑客攻击工具和安全检测工具)、
  4. 开发人员的安全意识培养。

其中第1、2、3部分是本课程的重点。

 
 

课程关注的问题:

  • Web网站的安全体系框架原理你了解么
  • 如何规划资源,建立合理的安全防范层次
  • Web网站的攻击手段有哪些
  • 如何预先检查可能存在的网站漏洞
  • 如何建立完整的web网站防护措施
  • 如何监视并报告当前正在发生的攻击
  • 当攻击发生的时候,如何进行内层防护web网站
    • 如何建立web网站资源的安全配置
    • 如何进行安全连接加密
    • 如何防止SQL注入攻击
    • 如何防止阻塞攻击
    • 如何防止密码破译
    • 如何防止木马程序的注入
    • 如何建立
  • 如何进行安全审计
  • 如何培养人员安全意识
培训对象:软件设计人员、开发人员和测试人员
学员基础:至少2年以上系统维护、管理经验。有实际项目经验。
授课方式: 定制课程 + 案例讲解 + 小组讨论,60%案例讲解,40%实践演练
培训内容: 2天
练习方式:3人一组:分别模拟 客户方/服务器方/攻击方;
安全意识
安全相关案例解读
  • 黑客组织:窃取Sun电子邮件 存储在中国境内
  • SSL系统遭入侵发布虚假密钥
  • RSA高管呼吁采用新的信息安全方法
  • Oracle周二将发布批量补丁 影响数百款产品
  • 微软高信度计算
案例讨论:2010 最突出的10项安全漏洞
安全原理:威胁建模
  • 标识资源(敏感数据)
  • 创建总体体系结构
  • 分解应用程序标识特权代码
  • 识别威胁
  • 记录威胁
  • 评价威胁

练习:对“网银”系统进行威胁建模

如何检查web应用漏洞
  • 常见的操作系统漏洞和检查方法
  • 常见的数据库漏洞和检查方法
  • Web服务漏洞和检查方法
  • 网络通信漏洞和检查方法
  • 配置文件漏洞和检查方法
  • 其他资源漏洞和检查方法
常见攻击工具
Mpack
Neosploit
ZeuS
Nukesploit P4ck
Phoenix
常见安全检查工具
IBM Rational AppScan
WebInspect
NStalker-WAS
Acunetix Web Vulnerability Scanner
练习:使用AppScan检查WEB应用安全漏洞
基础技能
加密解密
散列原理与算法
基于证书的签名与加密
访问权限列表(ACL)
安全协议:SSL,IPSec,Kerberos协议
网络威胁与对策
  • 网络组件:路由器、防火墙和交换机
  • 信息收集
  • 探查
  • 欺骗
  • 会话劫持
  • 中间人攻击
练习:使用网络探测器
主机威胁与对策
  • 病毒、特洛伊木马和蠕虫
  • 信息收集
  • 破解密码
  • 拒绝服务
  • 任意执行代码
  • 未授权访问
讨论:红色代码病毒及其危害
WEB应用常见威胁及其对策
  • 输入验证: 缓冲区溢出攻击
  • 跨站点脚本编写
  • SQL注入攻击
  • 标准化漏洞
  • 身份验证相关的威胁及其对策
  • 针对授权的威胁及其对策
  • 针对配置管理的威胁及对策
  • 安全的加密
  • 对抗针对操作查询字符串 的威胁
  • 异常处理
练习:针对“网银系统”漏洞发起相关攻击
进行安全审计
使用日志跟踪安全相关事件
将日志写入文件/数据库
使用系统安全日志
做好开发层次安全
代码访问安全
用户验证
输入检查
应用安全规则进行静态代码安全隐患分析
线程安全
针对URL授权
序列化/反序列化安全
代码混淆
练习:1)使用代码混淆器2)针对“网银系统”漏洞继续发起攻击;3)应用安全规则自查
培养安全意识
建立安全管理和开发、维护规范
及时发现安全事件
按照合理的流程处理安全问题
把安全降低到最小影响
1735 次浏览   233 次
其他人还看了课程
WINDOWS安全运维培训  894 次浏览
WEB网站与应用安全原理与实践  1736 次浏览
注册信息安全专业人员(CISP)  3253 次浏览
软件安全开发周期、过程与规范  960 次浏览
信息安全问题与防范  1208 次浏览
信息安全管理  1090 次浏览
定制内训




最新活动计划
[北京]需求分析最佳实践 10-11
[北京]HTML5与前端框架高级实战 10-18
[北京]人工智能机器和深度学习 10-22
[北京]配置管理与持续集成实践 10-26
[北京]Oracle数据库性能优化实践 10-29
[北京]产品经理与产品管理 11-1
[上海]程序性能提升与优化 11-2
[上海]产品需求分析与管理 11-4
[深圳]深度学习&Tensorflow框架 10-25
[深圳]嵌入式软件架构高级实践 11-3
[深圳]数据仓库多维建模方法与应用 11-24
 
 
 

 
每天2个文档/视频
扫描微信二维码订阅
订阅技术月刊
获得每月300个技术资源
 
 

关于我们 | 联系我们 | 京ICP备10020922号 京公海网安备110108001071号