求知 文章 文库 Lib 视频 Code iProcess 课程 认证 咨询 工具 火云堂 讲座吧   成长之路  
会员   
 
 
 
全部课程 | 技术学院 | 管理学院 | 嵌入式学院 | 在线学院  
成功案例   品质保证  电话 English
追随技术信仰

随时听讲座
每天看新闻
 
   
成功案例
某轨道交 性能测试方法与技术
某银行 信用卡业务测试实践
某半导体 测试用例分析与设计
某银行 基于业务场景的测试
某高性能 构建有效的测试工作
某大型通 NSB—UI自动化
某轨道交 高级性能测试

相关课程  
软件测试(TD+WR+LD)
测试过程与团队管理
LoadRunner进行性能测试
WEB应用的软件测试
手机软件测试
嵌入式白盒测试
 

WEB安全测试方法、工具与实践         
 
主讲嘉宾:Allen,曾任阿里巴巴安全测试高级工程师,具有多年专业的安全测试经验
时间地点:北京 10月30-31日;上海 、深圳根据报名开班
课程费用:5000元/人,详见 公开课学习手册
企业内训:可以根据企业需求,定制内训,详见 内训学习手册
 

 建立web应用安全,已经成为web应用的最关键质量,而安全测试,是有效的问题预见方法。在本课程中,学员们通过现场观看安全漏洞攻击过程,了解安全漏洞的危害,并能够独立通过安全测试工具发现常见的WEB安全漏洞。并能够指导开发、或独立完成漏洞的修复。通过了解安全测试工具开发方法,可以实践符合自己环境要求的安全测试工具、平台。

 
培训目标

本课程结合典型的安全危机事件实例,让学员全面了解安全相关的理论、技术和工具。包括:

  • 了解安全开发生命周期。
  • 了解安全测试的范围、目标。
  • 深入掌握常见的安全漏洞的测试方法
  • 掌握常见安全测试工具的使用方法
  • 通过掌握安全测试方法后,了解漏洞攻击监控思路。
培训对象:Web站点和应用开发人员和测试人员 、维护人员
学员基础:具有web安全一般了解
授课方式:定制课程 + 案例讲解 + 小组讨论,60%案例讲解,40%实践演练
培训内容:2天
安全大事件回顾与思考
  • 安全真实案例回顾与讨论
  • 安全都涉及什么
  • 如何来预防安全事故
  • 安全测试的目标和范围
安全原理:威胁建模
  • 标识资源(敏感数据)
  • 创建总体体系结构
  • 分解应用程序标识特权代码
  • 识别威胁
  • 记录威胁
  • 评价威胁
web安全需求分析
  • 列出网站资源:业务数据,应用程序,服务,配置数据,页面
  • 建立资源分布图,确定资源位置
  • 确定资源信任边界
  • 确定资源授权范围
  • 建立资源防范目录
web应用漏洞及检测方法
  • 常见的操作系统漏洞和检查方法
  • 常见的数据库漏洞和检查方法
  • Web服务漏洞和检查方法
  • 网络通信漏洞和检查方法
  • 配置文件漏洞和检查方法
  • 其他资源漏洞和检查方法

设计安全测试用例
  • 确定安全测试点
  • 预见可能的入侵事件
  • 分析入侵事件的触发条件,
  • 设计测试用例


常见攻击工具
  • Mpack
  • Neosploit
  • ZeuS
  • Nukesploit P4ck
  • Phoenix
常见安全检查工具
  • IBM Rational AppScan
  • WebInspect
  • NStalker-WAS
  • Acunetix Web Vulnerability Scanner
网络威胁检测
  • 网络组件:路由器、防火墙和交换机
  • 信息收集
  • 探查
  • 欺骗
  • 会话劫持
  • 中间人攻击
安全检测
  • 病毒、特洛伊木马和蠕虫
  • 信息收集
  • 破解密码
  • 拒绝服务
  • 任意执行代码
  • 未授权访问
WEB应用常见威胁及其对策
  • 输入验证: 缓冲区溢出攻击
  • 跨站点脚本编写
  • SQL注入攻击
  • 标准化漏洞
  • 身份验证相关的威胁及其对策
  • 针对授权的威胁及其对策
  • 针对配置管理的威胁及对策
  • 安全的加密
  • 对抗针对操作
  • 异常处理
进行安全审计
  • 使用日志跟踪安全相关事件
  • 将日志写入文件/数据库
  • 使用系统安全日志
 
其他人还看了课程
数据分析与挖掘  
红帽认证  
企业战略与变革管理  
软件架构设计方法  
定制内训




最新活动计划
C++高级编程 12-25 [线上]
白盒测试技术与工具实践 12-24[线上]
LLM大模型应用与项目构建 12-26[特惠]
需求分析最佳实践与沙盘演练 1-6[线上]
SysML建模专家 1-16[北京]
UAF架构体系与实践 1-22[北京]