| 互联网安全开发概览 |
如何界定那些关于Web信息为安全以及介绍常见的安全隐患发生的情况。
通过经典互联网安全事故,了解安全的原因和处理策略。
从互联网应用架构角度划分安全层次:
客户端安全
Web前端安全
网络传输安全
服务器安全
服务端应用安全
数据库安全
OWASP TOP 10 大风险概览 |
| 安全理论方法体系- STRIDE 建模 |
理解威胁建模的基本概念:
资源。重要资源,如数据库中或文件系统上的数据。系统资源。
威胁。潜在事件,恶意的或其他性质的,可能会损坏或危及资源的安全。
缺陷。系统在某方面的弱点或特性,它有可能造成威胁的发生。网络、主机或应用程序级都可能存在缺陷。
攻击(或利用)。某人或者某物采取的、危害资源的行为。该行为可能是某人通过跟踪威胁或者利用缺陷而做出的。
对策。应对威胁、减小危险的安全措施。
威胁建模的原则
标识资源
创建总体体系结构
分解应用程序
识别威胁
记录威胁
评价威胁
如何将威胁建模方法应用到 Web 应用程序中,来识别和评价现存的威胁。
威胁建模之后该做何工作?
设计者可以利用它来进行技术与功能方面的安全设计选择决策。
编写代码的开发人员可以利用它来降低风险。
测试人员可以编写测试案例来测试应用程序是否容易受分析所找出的威胁的攻击。 |
| 代码安全性 |
本节介绍如何编写安全代码,包括:
代码益处漏洞攻击的原理和实现。
代码与系统资源访问权限管理。
系统线程安全与管理。
代码网络访问安全限制与管理。
代码质量控制方法。 |
| 网络传输层安全 |
本节内容通过介绍有线网络和无线网络的安全构建,提示如何避免传输层的信息泄露和回话劫持。
网络传输过程中,通过端口镜像监听明文数据导致的信息泄露,以及网关篡改数据造成的中间人攻击屡见不鲜,本内容通过介绍这些技术的手法来提示开发者避免被攻击。
|
| 服务器安全 |
常见的服务器侵入技术,
如何通过配置避免服务器被扫描和入侵。
不同的Web服务器常见的过各种溢出漏洞,
常见的情况是因为编码等原因对URL信息处理不当,
导致通过HTTP请求获得SHELL权限,
本节内容介绍常见的服务器中此类漏洞,并提示开发者加以避免。 |
| 数据库应用安全 |
常见的数据库设计不安全隐患,
如何通过配置和编写代码避免数据库泄露。
数据库常见的安全问题的有优化方法:
具有较低权限的用户通过跨表查询获得更高的权限,
某些用户的查询导致死锁使服务器停止响应
常见的数据库优化技巧来避免这些问题。 |
| Web后端代码安全 |
常见的后端代码编写语言中可能引入的安全风险,
如何避免这些风险。
典型入侵防护的防护方法:
后端代码过滤包括避免数据库注入攻击,
避免恶意代码获得不安全的DLL引用导致获得shell权限等问题。 |
Web前端代码安全/
HTML5 |
介绍常见的Web前端侵入技术,例如XSS(Cross-Site Scripting)跨站脚本攻击,跨域的脚本执行等。
前端代码的注入的攻击模式和防御方法。
HTML5的常见入侵技术和防御方法 |
| 移动客户端安全 |
介绍移动客户端设备Web访问的安全隐患,
如何避免安全隐患问题。
手机浏览器的安全权限级别不同介绍,
手机中常见的各种代码级安全隐患。
防止用户通过手机客户端访问网站的时候被攻击。 |
| 富客户端应用安全技巧 |
Flash和Silverlight这两个RIA(Rich Interface Application)框架目前十分流行,本部分介绍这两者常见的安全隐患。
富媒体应用由于可以调用很多本地接口而具有较高权限,这些权限在某些时候具有一定侵害性,本节内容通过分析实例介绍那些权限可能导致用户信息泄露 |
| 浏览器安全隐患分析 |
本部分介绍桌面浏览器常见的安全隐患,通过讲解浏览器的工作方式,让用户了解针对不同浏览器的攻击特质。 |
| Web解析客户端的安全隐患 |
在windows平台有大量应用程序依赖浏览器引擎工作,例如QQ查看聊天记录功能其实就是调用浏览器引擎解析HTML文档。通过了解这些潜在的客户端调用可以避免无意的信息泄露。 |
| 社会工程学与安全审查 |
社会工程学常见的入侵技巧,入侵者通过伪装为普通用户通过社交手段渗透入目标系统。在SNS盛行的今天,这个情况屡见不鲜,这里介绍一些常见的社会工程学入侵技巧以及如何避免被渗透 |
| 网络安全防护解决方案介绍 |
本节课程从网络架构介绍,通过介绍如何规划网络结构,如何设置服务器,以及如何管理日志等细节来实现网络安全。 |
| OWASP TOP 10 防御方案 |
逐一通过实例讲解十大风险的防御方案
A1 –注入(Injection):注入攻击漏洞,例如SQL、OS以及LDAP注入
A2-失效的身份认证和会话管理(Broken Authentication
and Session Management)
A3-跨站脚本?(Cross-Site Scripting,XSS)
A4-不安全的直接对象引用(Insecure Direct Object References)
A5–安全配置错误(Security Misconfiguration)
A6 –敏感信息泄漏(Sensitive Data Exposure)
A7 –功能级访问控制缺失(Missing Function Level Access
Control)
A8 –跨站请求伪造?(Cross-Site Request Forgery,CSRF)。
A9 –使用含有已知漏洞的组件(Using Components with
Known Vulnerabilities)
A10 –未验证的重定向和转发(Unvalidated Redirects
and Forwards) |
| 课程总结 |
问题解答
课程回顾 |
