求知 文章 文库 Lib 视频 Code iProcess 课程 角色 咨询 工具 火云堂 讲座吧   成长之路  
会员   
 
 
 
全部课程 | 技术学院 | 管理学院 | 嵌入式学院 | 在线学院  
成功案例   品质保证  电话 English
追随技术信仰

随时听讲座
每天看新闻
 
   
成功案例
某集成电 多核体系的软件仿真
某电力能 设计模式原理及应用
南方航空 软件设计方法与实践
某跨国公 软件设计原理与实
爱立信( 软件设计
Moto 设计模式
北京 软件设计原理与实践

 
全部课程 >安全  
互联网安全开发方法与实践   
Kent
某大型集团企业技术主管,之前曾任某跨国公司技术经理。
报名课程   567 次浏览  25 次
地点时间:北京,上海,深圳根据报名开班
课程费用:5000元/人,详见 公开课学习手册
企业内训: 可以根据企业需求,定制内训,详见 内训学习手册

课程从应用开发人员视角,讲解互联网安全常见的安全风险,这些安全的架构原理,威胁建模方法,以及具体的各个层次的安全开发经验:web前端、浏览器、客户端、服务器、服务端应用、数据库。课程讲解和老师的实际案例进行讲解,同时结合行业经典案例进行透彻分析。
培训目标
  • 互联网安全开发概览
  • 安全理论方法体系- STRIDE 建模
  • 了解程序因为什么而产生了安全隐患
  • 了解安全隐患会如何被恶意用户利用
  • 了解安全隐患会产生什么样的影响
  • 掌握在编程时使用什么方法能消除这些安全隐患
  • 掌握这些方法是如何消除这些安全隐患的
  • 代码安全性
  • 网络传输层安全
  • 服务器安全
  • 数据库应用安全
  • Web后端代码安全
  • Web前端代码安全/HTML5安全
  • 移动客户端安全
  • 富客户端应用安全技巧
  • 浏览器安全隐患分析
  • Web解析客户端的安全隐患
  • 社会工程学与安全审查
  • 网络安全防护解决方案介绍
  • OWASP TOP 10 防御方案
  • 培训对象:有一定前端开发或者后端开发经验的程序员,以及服务器运行维护人员,以及企业内部信息化安全培训人员
    学员基础:具有web应用开发经验,数据web应用的部署和运行环境。
    授课方式: 定制课程 + 案例讲解 + 小组讨论,60%案例讲解,40%实践演练
    培训内容:2天
    互联网安全开发概览 如何界定那些关于Web信息为安全以及介绍常见的安全隐患发生的情况。
    通过经典互联网安全事故,了解安全的原因和处理策略。
    从互联网应用架构角度划分安全层次:
  • 客户端安全
  • Web前端安全
  • 网络传输安全
  • 服务器安全
  • 服务端应用安全
  • 数据库安全
    OWASP TOP 10 大风险概览
  • 安全理论方法体系- STRIDE 建模 理解威胁建模的基本概念:
  • 资源。重要资源,如数据库中或文件系统上的数据。系统资源。
  • 威胁。潜在事件,恶意的或其他性质的,可能会损坏或危及资源的安全。
  • 缺陷。系统在某方面的弱点或特性,它有可能造成威胁的发生。网络、主机或应用程序级都可能存在缺陷。
  • 攻击(或利用)。某人或者某物采取的、危害资源的行为。该行为可能是某人通过跟踪威胁或者利用缺陷而做出的。
  • 对策。应对威胁、减小危险的安全措施。
    威胁建模的原则
  • 标识资源
  • 创建总体体系结构
  • 分解应用程序
  • 识别威胁
  • 记录威胁
  • 评价威胁
  • 如何将威胁建模方法应用到 Web 应用程序中,来识别和评价现存的威胁。
    威胁建模之后该做何工作?
  • 设计者可以利用它来进行技术与功能方面的安全设计选择决策。
  • 编写代码的开发人员可以利用它来降低风险。
  • 测试人员可以编写测试案例来测试应用程序是否容易受分析所找出的威胁的攻击。
  • 代码安全性 本节介绍如何编写安全代码,包括:
  • 代码益处漏洞攻击的原理和实现。
  • 代码与系统资源访问权限管理。
  • 系统线程安全与管理。
  • 代码网络访问安全限制与管理。
  • 代码质量控制方法。
  • 网络传输层安全 本节内容通过介绍有线网络和无线网络的安全构建,提示如何避免传输层的信息泄露和回话劫持。
    网络传输过程中,通过端口镜像监听明文数据导致的信息泄露,以及网关篡改数据造成的中间人攻击屡见不鲜,本内容通过介绍这些技术的手法来提示开发者避免被攻击。
    服务器安全 常见的服务器侵入技术,
    如何通过配置避免服务器被扫描和入侵。
    不同的Web服务器常见的过各种溢出漏洞,
  • 常见的情况是因为编码等原因对URL信息处理不当,
  • 导致通过HTTP请求获得SHELL权限,
  • 本节内容介绍常见的服务器中此类漏洞,并提示开发者加以避免。
    数据库应用安全 常见的数据库设计不安全隐患,
    如何通过配置和编写代码避免数据库泄露。
    数据库常见的安全问题的有优化方法:
  • 具有较低权限的用户通过跨表查询获得更高的权限,
  • 某些用户的查询导致死锁使服务器停止响应
  • 常见的数据库优化技巧来避免这些问题。
    Web后端代码安全 常见的后端代码编写语言中可能引入的安全风险,
    如何避免这些风险。
    典型入侵防护的防护方法:
  • 后端代码过滤包括避免数据库注入攻击,
  • 避免恶意代码获得不安全的DLL引用导致获得shell权限等问题。
    Web前端代码安全/
    HTML5
    介绍常见的Web前端侵入技术,例如XSS(Cross-Site Scripting)跨站脚本攻击,跨域的脚本执行等。
    前端代码的注入的攻击模式和防御方法。
    HTML5的常见入侵技术和防御方法
    移动客户端安全 介绍移动客户端设备Web访问的安全隐患,
    如何避免安全隐患问题。
    手机浏览器的安全权限级别不同介绍,
    手机中常见的各种代码级安全隐患。
    防止用户通过手机客户端访问网站的时候被攻击。
    富客户端应用安全技巧 Flash和Silverlight这两个RIA(Rich Interface Application)框架目前十分流行,本部分介绍这两者常见的安全隐患。
    富媒体应用由于可以调用很多本地接口而具有较高权限,这些权限在某些时候具有一定侵害性,本节内容通过分析实例介绍那些权限可能导致用户信息泄露
    浏览器安全隐患分析 本部分介绍桌面浏览器常见的安全隐患,通过讲解浏览器的工作方式,让用户了解针对不同浏览器的攻击特质。
    Web解析客户端的安全隐患 在windows平台有大量应用程序依赖浏览器引擎工作,例如QQ查看聊天记录功能其实就是调用浏览器引擎解析HTML文档。通过了解这些潜在的客户端调用可以避免无意的信息泄露。
    社会工程学与安全审查 社会工程学常见的入侵技巧,入侵者通过伪装为普通用户通过社交手段渗透入目标系统。在SNS盛行的今天,这个情况屡见不鲜,这里介绍一些常见的社会工程学入侵技巧以及如何避免被渗透
    网络安全防护解决方案介绍 本节课程从网络架构介绍,通过介绍如何规划网络结构,如何设置服务器,以及如何管理日志等细节来实现网络安全。
    OWASP TOP 10 防御方案 逐一通过实例讲解十大风险的防御方案
  • A1 –注入(Injection):注入攻击漏洞,例如SQL、OS以及LDAP注入
  • A2-失效的身份认证和会话管理(Broken Authentication and Session Management)
  • A3-跨站脚本?(Cross-Site Scripting,XSS)
  • A4-不安全的直接对象引用(Insecure Direct Object References)
  • A5–安全配置错误(Security Misconfiguration)
  • A6 –敏感信息泄漏(Sensitive Data Exposure)
  • A7 –功能级访问控制缺失(Missing Function Level Access Control)
  • A8 –跨站请求伪造?(Cross-Site Request Forgery,CSRF)。
  • A9 –使用含有已知漏洞的组件(Using Components with Known Vulnerabilities)
  • A10 –未验证的重定向和转发(Unvalidated Redirects and Forwards)
  • 课程总结 问题解答
    课程回顾
     
    567 次浏览  25 次
    其他人还看了课程
    信息安全管理  1153 次浏览
    企业网安全  821 次浏览
    WEB网站与应用安全原理与实践  1452 次浏览
    WINDOWS安全运维培训  854 次浏览
    互联网安全开发方法与实践  567 次浏览
    注册信息安全专业人员(CISP)  1677 次浏览
    定制内训



    咨询服务:架构评估与优化
    咨询目标
    对现有的架构进行评估,发现问题,并优化
    咨询范围 业务架构,应用架构,数据架构,技术架构
    咨询方式 对现有架构进行建模,然后诊断问题,对问题进行集成分析,设计优化方案,指导团队实施优化,最终效果评估。
    成功案例 中国移动广西分公司,中国电信
    详情咨询:010-62670969, zhgx@uml.net.cn

    最新活动计划
    [北京]软件测试方法与实践 12-17
    [北京]UML和EA进行系统分析设计 1-10
    [北京]软件设计模式最佳实践 12-20
    [北京]大数据分析与管理 1-17
    [上海]嵌入式软件可靠性设计 12-19
    [上海]Kubernetes构建企业容器云 12-21
    [深圳]数据仓库多维建模方法应用 12-29
     
     
     

     
    每天2个文档/视频
    扫描微信二维码订阅
    订阅技术月刊
    获得每月300个技术资源
     
    希望我们的资料可以帮助你学习,也欢迎投稿&提建议给我
    频道编辑:sky
    邮       件:sky@uml.net.cn

    关于我们 | 联系我们 | 京ICP备10020922号 京公海网安备110108001071号