【課程背景】
隨著互聯(lián)網(wǎng)時代的到來�����,企業(yè)的應(yīng)用也逐步轉(zhuǎn)向互聯(lián)網(wǎng)���,以互聯(lián)網(wǎng)形式開放給用戶進行使用��?而互聯(lián)網(wǎng)帶來最大的問題就是安全問題�,企業(yè)如何解決互聯(lián)網(wǎng)應(yīng)用的安全問題�����?
本課程在主動的安全開發(fā)框架指導(dǎo)下�,深入剖析軟件開發(fā)生命周期各階段的安全細節(jié)問題,理解協(xié)同構(gòu)建安全系統(tǒng)的方法���。并通過大量的動手實操和相關(guān)案例貫穿所有的理論知識���,使學(xué)員熟練掌握代碼安全漏洞分析�、編程規(guī)范��、代碼質(zhì)量問題分析�、安全設(shè)計與防御常見問題及解決方法。
【課程收益】
? 學(xué)會分析軟件安全脆弱性產(chǎn)生的根源
? 展示多種攻擊軟件的手段���、指出軟件開發(fā)過程中不同人員在設(shè)計和開發(fā)中常犯的錯誤
? 探討當前軟件安全界關(guān)注的熱點問題
? 總結(jié)和提高軟件質(zhì)量和安全性的指導(dǎo)思想�、開發(fā)策略����、技術(shù)路線和實施方法
? 掌握代碼安全典型漏洞
? 安全漏洞攻防演練
? 掌握通用代碼編程規(guī)范
? 能夠?qū)Υa進行質(zhì)量問題分析
? 掌握項目的安全設(shè)計與防御
【課程對象】IT技術(shù)負責(zé)人��、軟件架構(gòu)師�、系統(tǒng)分析師、資深開發(fā)人員��、測試人員�、信息技術(shù)安全部門的相關(guān)人員
【課程時間】2天
【課程大綱】
一、安全知識背景
1�、安全基礎(chǔ)
? 當前企業(yè)面臨的安全態(tài)勢分析
? 安全分類
? Top 10安全問題分析
? 安全案例分析
2�����、常見的Web攻擊手段
二����、服務(wù)器&瀏覽器安全
1����、服務(wù)器安全
? 服務(wù)器分等級隔離部署策略
? 應(yīng)用部署的目錄要求
? 服務(wù)器開放賬號最小特權(quán)權(quán)限
? 端口白名單開放策略
? 不同權(quán)限級別用戶增加額外訪問控制
? 公共配置存儲的安全
? 檢測指定web應(yīng)用是否開放非必須的http方法
? http trace方法開放測試
? 關(guān)閉后臺調(diào)試信息
? 應(yīng)用上傳路徑的安全監(jiān)控
2、瀏覽器安全
? 瀏覽器廠商對安全的日漸重視
? 同源策略
? 瀏覽器沙箱
? 惡意網(wǎng)址攔截
? 基于瀏覽器自身安全機制的提升
三�、常用安全漏洞的攻與防-客戶端安全
1、跨站腳本攻擊(XSS)
? 什么是XSS
? XSS為什么是一種熱門攻擊手段
? XSS Payload的定義
? cookie劫持
? XSS釣魚
? 常見的CSS攻擊平臺
? XSS Worm
? XSS構(gòu)造技巧
? 如何防御XSS
實戰(zhàn):XSS攻擊與防范實戰(zhàn)
2���、跨站請求偽造(CSRF)
? CSRF定義
? CSRF可以做什么
? CSRF漏洞現(xiàn)狀
? CSRF的攻擊原理
? 如何防御CSRF
? CSRF與XSS的比較
實戰(zhàn):CSRF修改用戶密碼以及防范措施
3�、釣魚攻擊
? 什么是釣魚攻擊
? 釣魚攻擊的一般步驟
? 目前釣魚攻擊的調(diào)查報告統(tǒng)計
? 釣魚攻擊有哪些常見的方法
案例:釣魚攻擊
4�����、點擊劫持
? 點擊劫持的定義
? 常見的點擊劫持分類
5���、HTML5安全
? Iframe sandbox機制
? Canvas
? PostMessage跨窗口消息傳遞
? WebStorage本地存儲
案例:Noreferer問題演示與防范
四�����、常用安全漏洞的攻與防-服務(wù)端安全
1���、SQL注入
? SQL注入定義
? SQL注入目的
? 常用的SQL注入語句
? SQL注入方式
? 注入思路分析
? SQL盲注與一般SQL注入的區(qū)別
? 如何防御SQL注入
實戰(zhàn):SQL注入攻擊與防范實戰(zhàn)
2�����、文件上傳和下載漏洞
? 文件上傳漏洞的定義
? 因文件上傳漏洞所帶來的安全問題
? 必須具備的條件
? 文件上傳漏洞包括哪些類型
? 如何防御文件上傳漏洞
實戰(zhàn):文件上傳和下載漏洞注入攻擊與防范實戰(zhàn)
3���、認證與會話管理
? 認證與授權(quán)的定義
? 認證分類
? 密碼認證的優(yōu)缺點
? 密碼設(shè)計應(yīng)遵循的原則
? 密碼出錯策略設(shè)置
? 密碼輸入框的密文顯示
? 密碼的加密存儲
? 密碼的加密傳輸
? 初始化口令的要求
? 驗證碼的安全使用
? 認證處理模塊的合法性校驗及認證結(jié)果返回要求
? 關(guān)鍵事務(wù)處理的多級認證和強身份認證
? 會話重寫
? 用戶賬號的鎖定策略
? Session機制詳解
? Session常用的攻擊漏洞
? 獲取sessionid的兩種手段
? 注銷時會話清除
? 單點登錄
? 如何進行認證測試
? 不安全的數(shù)據(jù)傳輸
? 服務(wù)端業(yè)務(wù)處理的流程順序限制
案例:Session劫持與防范
4、訪問控制
? 不安全對象的引用
? 功能級的訪問必須經(jīng)過認證和鑒權(quán)
? 認證和鑒權(quán)必須在服務(wù)器端處理
? 采用最小化權(quán)限控制策略
? 應(yīng)用程序運行賬號和數(shù)據(jù)庫連接賬號的分離以及最小職權(quán)原則
? 操作系統(tǒng)文件的權(quán)限控制策略
? 訪問控制的分類
? 垂直權(quán)限管理
? 水平權(quán)限管理
5�、安全配置錯誤
? 安全配置的定義
? 因安全配置錯誤引發(fā)的安全問題
? 如何防御安全配置錯誤引發(fā)的安全問題
案例:文件目錄的安全問題
6、使用含有已知漏洞的組件
? 描述
? 所帶來的危害
? 解決辦法
7�、未驗證的重定向和轉(zhuǎn)發(fā)
? 案例
? 解決辦法
8、敏感信息泄露
? 敏感信息的定義
? 敏感信息的危害
? 敏感信息的案例
? 如何解決敏感信息泄露引發(fā)的問題
? 如何進行敏感信息泄露的測試
? 代碼中的敏感數(shù)據(jù)
? 禁止明文存儲密鑰和口令
? 禁止cookie中存儲明文形式敏感數(shù)據(jù)
? 安全的加密算法推薦
? 日志中敏感數(shù)據(jù)存儲
? 敏感數(shù)據(jù)禁止緩存到頁面
? 敏感數(shù)據(jù)表單提交規(guī)則
? 使用帶證書的SSL
? 禁止URL中攜帶敏感信息
9��、拒絕服務(wù)攻擊
? 網(wǎng)絡(luò)層的拒絕服務(wù)攻擊
? 應(yīng)用層的拒絕服務(wù)攻擊
? 如何防范應(yīng)用層的拒絕服務(wù)攻擊
10��、安全審計
? 安全事件和操作事件的記錄
? 安全日志的訪問權(quán)限控制
? 安全日志的分析
(微信同號)