求知 文章 文库 Lib 视频 Code iProcess 课程 认证 咨询 工具 火云堂 讲座吧   成长之路  
会员   
 
 
 
全部课程 | 技术学院 | 管理学院 | 嵌入式学院 | 在线学院  
成功案例   品质保证  电话 English
追随技术信仰

随时听讲座
每天看新闻
 
   
成功案例
瑗块棬瀛愯タ 缃戠粶瀹夊叏銆佸祵鍏ュ紡杞
GE 鍖哄潡閾炬妧鏈笌瀹炵幇
涓浗閾惰 淇℃伅瀹夊叏鎶鏈強娣卞害
鍖椾含鍜屽埄 鎬ц兘鍜屽畨鍏ㄦ
鍖椾含 Web搴旂敤瀹夊叏鏋舵瀯銆佸叆渚

相关课程  
WEB网站与应用安全原理与实践
web应用安全架构设计
创建安全的Java/J2EE Web代码
注册信息安全专业人员(CISP)
信息安全管理
信息安全问题与防范
 

WEB网站与应用安全原理与实践         
 
专家讲师:刘老师,某知名互联网公司安全专家,精通web站点安全设计与防护。
时间地点:北京;上海 深圳 根据报名开班
课程费用:5000元/人 (学生3折),详见 公开课学习手册
企业内训: 可以根据企业需求,定制内训,详见 内训学习手册
 

很多关键业务都是通过web网站提供互联网服务,而互联网的公开性也造成了网站很容易受到攻击,如何建立web应用安全,已经成为web应用的最关键质量。本课程适应大家的迫切需求,提供web应用安全的整体解决方案。

本课程结合典型的安全危机事件实例,让学员全面了解安全相关的理论、技术和工具。包括

  1. 安全基于威胁建模的安全防范原理、
  2. WEB应用常见威胁及其对策、
  3. 安全相关工具(黑客攻击工具和安全检测工具)、
  4. 开发人员的安全意识培养。

其中第1、2、3部分是本课程的重点。

 
 

课程关注的问题:

  • Web网站的安全体系框架原理你了解么
  • 如何规划资源,建立合理的安全防范层次
  • Web网站的攻击手段有哪些
  • 如何预先检查可能存在的网站漏洞
  • 如何建立完整的web网站防护措施
  • 如何监视并报告当前正在发生的攻击
  • 当攻击发生的时候,如何进行内层防护web网站
    • 如何建立web网站资源的安全配置
    • 如何进行安全连接加密
    • 如何防止SQL注入攻击
    • 如何防止阻塞攻击
    • 如何防止密码破译
    • 如何防止木马程序的注入
    • 如何建立
  • 如何进行安全审计
  • 如何培养人员安全意识
培训对象:软件设计人员、开发人员和测试人员
学员基础:至少2年以上系统维护、管理经验。有实际项目经验。
授课方式: 定制课程 + 案例讲解 + 小组讨论,60%案例讲解,40%实践演练
培训内容: 2天
练习方式:3人一组:分别模拟 客户方/服务器方/攻击方;
安全意识
安全相关案例解读
  • 黑客组织:窃取Sun电子邮件 存储在中国境内
  • SSL系统遭入侵发布虚假密钥
  • RSA高管呼吁采用新的信息安全方法
  • Oracle周二将发布批量补丁 影响数百款产品
  • 微软高信度计算
案例讨论:2010 最突出的10项安全漏洞
安全原理:威胁建模
  • 标识资源(敏感数据)
  • 创建总体体系结构
  • 分解应用程序标识特权代码
  • 识别威胁
  • 记录威胁
  • 评价威胁

练习:对“网银”系统进行威胁建模

如何检查web应用漏洞
  • 常见的操作系统漏洞和检查方法
  • 常见的数据库漏洞和检查方法
  • Web服务漏洞和检查方法
  • 网络通信漏洞和检查方法
  • 配置文件漏洞和检查方法
  • 其他资源漏洞和检查方法
常见攻击工具
Mpack
Neosploit
ZeuS
Nukesploit P4ck
Phoenix
常见安全检查工具
IBM Rational AppScan
WebInspect
NStalker-WAS
Acunetix Web Vulnerability Scanner
练习:使用AppScan检查WEB应用安全漏洞
基础技能
加密解密
散列原理与算法
基于证书的签名与加密
访问权限列表(ACL)
安全协议:SSL,IPSec,Kerberos协议
网络威胁与对策
  • 网络组件:路由器、防火墙和交换机
  • 信息收集
  • 探查
  • 欺骗
  • 会话劫持
  • 中间人攻击
练习:使用网络探测器
主机威胁与对策
  • 病毒、特洛伊木马和蠕虫
  • 信息收集
  • 破解密码
  • 拒绝服务
  • 任意执行代码
  • 未授权访问
讨论:红色代码病毒及其危害
WEB应用常见威胁及其对策
  • 输入验证: 缓冲区溢出攻击
  • 跨站点脚本编写
  • SQL注入攻击
  • 标准化漏洞
  • 身份验证相关的威胁及其对策
  • 针对授权的威胁及其对策
  • 针对配置管理的威胁及对策
  • 安全的加密
  • 对抗针对操作查询字符串 的威胁
  • 异常处理
练习:针对“网银系统”漏洞发起相关攻击
进行安全审计
使用日志跟踪安全相关事件
将日志写入文件/数据库
使用系统安全日志
做好开发层次安全
代码访问安全
用户验证
输入检查
应用安全规则进行静态代码安全隐患分析
线程安全
针对URL授权
序列化/反序列化安全
代码混淆
练习:1)使用代码混淆器2)针对“网银系统”漏洞继续发起攻击;3)应用安全规则自查
培养安全意识
建立安全管理和开发、维护规范
及时发现安全事件
按照合理的流程处理安全问题
把安全降低到最小影响
 
其他人还看了课程
鏁版嵁鍒嗘瀽涓庢寲鎺  
绾㈠附璁よ瘉  
浼佷笟鎴樼暐涓庡彉闈╃鐞  
杞欢鏋舵瀯璁捐鏂规硶  
定制内训




最新活动计划
MBSE(基于模型的系统工程)10-29[北京]
DoDAF规范、模型与实例 11-5[北京]
QT应用开发 11-21[北京]
C++高级编程 11-27[北京]
业务建模&领域驱动设计 11-15[北京]
用户研究与用户建模 11-21[北京]