求知 文章 文库 Lib 视频 Code iProcess 课程 认证 咨询 工具 火云堂 讲座吧   成长之路  
会员   
 
 
 
全部课程 | 技术学院 | 管理学院 | 嵌入式学院 | 在线学院  
成功案例   品质保证  电话 English
追随技术信仰

随时听讲座
每天看新闻
 
   
成功案例
知名某轨 “ReWorks中
塞默菲舍 《嵌入式软件架构设
某水声通 嵌入式Linux应
广汽研究 ARM处理器体系架
联合汽微 嵌入式软件架构设计
某全球知 Linux内核和系
广汽研究 嵌入式软件架构设计

相关课程  
UML +RoseRealtime+嵌入式
C++嵌入式系统开发
嵌入式白盒测试
手机软件测试
嵌入式软件测试
嵌入式操作系统VxWorks
 
 
安全测试最佳实践    
 
王楷
现任职百度质量部无线高级测试负责人
报名课程       
时间地点:上海 北京 深圳 根据报名开班
课程费用: 5000元/人
企业内训: 可以根据企业需求,定制内训,详见 内训学习手册
通过2天课程介绍安全通用测试解决方案。重点剖析安全理论知识、安全工具使用和原理、代码注入、病毒入侵。并且在代码层面如何预防安全漏洞,如何利用乌云平台进行漏洞预知。并且大量例子介绍手机、web页面安全案例(手机银行支付类安全、账号系统app、web页面相关项目)
培训目标
  • 使学员快速掌握企业安全测试流程
  • BAT(百度、阿里、腾讯)通用安全测试方案
  • 安全测试风险评估
  • 安全基础理论知识
  • 安全工具使用(抓包三剑客)
  • 安全漏洞分析
  • 手机安全产品分析
  • 安全平台解析
  • 移动安全app测试选择
培训对象:高级测试工程师,功能测试工程师(银行支付类),安全测试工程师
学员基础:学习本课程应具备下列基础知识:
      1、 熟悉Mercury, Drozer注入工具
      2、 熟悉linux命令和数据库命令
      3、 熟悉一门脚本语言js脚本尤佳
      4、 熟悉通用测试抓包工具工具:fiddler、wshark、
      5、 测试领域三年以上工作经验
授课方式: 定制课程 + 案例讲解 + 小组讨论,60%案例讲解,40%实践演练
培训内容: 2天
引子 从几个重大安全事故说起:iPhone-iCloud明星们相片泄露、支付宝用户隐私泄露门、携程网数据库被删除事件等讲到安全对企业重要性。我们应该掌握哪些安全知识,去那方面预防?
安全测试课程介绍:
1、介绍安全测试原理
2、解决实际工作问题
3、篡改数据
4、工具抓包分析
5、专题讲解业务产品结构
6、分析安全测试找到bug
第一节 介绍安全测试原理和工具介绍 1、安全测试入门理论
2、安全测试和传统系统黑盒测试不同点
3、安全测试必备人员能力
4、常见数据传输格式类型讲解
5、安全工具抓包三剑客重点介绍(fiddler、charles、Wshark)
6、抓包分析http格式
7、不同数据格式获取(Json、Pcap、Pb格式等)
8、业务场景介绍
9、黑客常见入侵方式?
第二节 结合业务讲解端安全组件漏洞分析 安全测试不可能测试百分百完全,就像一定会有漏测一样。
1、 核心安全测试用例设计
2、 用xmind等脑图节约时间画(别用word浪费有限时间)
3、 安全测试报告撰写
4、 组件安全全面分析
A、 ssl证书安全
B、 远程代码执行漏洞
C、 系统隐藏接口漏洞
D、 黑客抓包篡改数据漏洞
学员设计
老师给一个带账号娱乐类软件(爱奇艺、土豆带登录vip账号登录软件,还有私有云空间信息的软件)
给出黑客攻击范围,域名劫持、vip账号数据库获取、获取用户基本信息,观看视频列表等等。让学生设计安全测试用例(30分钟) 老师点评!
但是怎么样花80%时间就测试好最核心功能。核心安全功能测试用例特别关键支付类产品形态和漏洞
第三节 通信加密漏洞分析 如何做账号登录安全测试
如何查看代码用业界安全的模式-保护用户设置密码的算法
1、 弱加密剖析
2、 RSA算法和DES加密
3、 https通信重要性
4、 post和get请求分析
5、 密钥长度分析
6、 随机数安全
7、 安全文档
8、 老师总结:
A 用什么加密算法
B 防止暴利破解
C、协议选取
第四节 App移动业务安全漏洞分析 业务安全全面分析
组件安全
数据库安全
webVIew安全分析
全局剪切板泄露
协议安全
登录安全
头文件安全
代码混淆
模拟黑客各种类型攻击和代码注入来技术层面分析各种安全漏洞
1、 数据库注入各种类型和代码如何预防
2、 WebView里面允许JS脚本远程注入入侵代码怎么样预防?
3、 动态加载文件入侵预防
4、 全局变量导入DB注入篡改数据库信息
5、 登录暴利破解和不安全加密模式具体分析
6、 数据完整性,数据破坏
例子.
老师举一个安全事故例子,支付类软件调用银行接口,出现某种异常,导致账号没钱也可以交易现象。设计测试用例(20分钟)
老师点评。
第五节 各种安全经典案例全面分析 1、账号系统常见安全问题
2、业务渠道类支付安全漏洞
3、web网页交易漏洞全面分析
案例1- webVIew入侵
案例2- 支付业务篡改
案例3- 代码注入
 
其他人还看了课程
数据分析与挖掘  
红帽认证  
企业战略与变革管理  
软件架构设计方法  
定制内训

最新活动计划
C++高级编程 12-25 [线上]
白盒测试技术与工具实践 12-24[线上]
LLM大模型应用与项目构建 12-26[特惠]
需求分析最佳实践与沙盘演练 1-6[线上]
SysML建模专家 1-16[北京]
UAF架构体系与实践 1-22[北京]