要资料 文章 文库 Lib 视频 Code iProcess 课程 认证 服务 工具 火云堂 讲座吧   专家招募  
会员   
 
 
 
全部课程 | 技术学院 | 管理学院 | 嵌入式学院 | 在线学院  
成功案例   品质保证  电话 English
追随技术信仰

随时听讲座
每天看新闻
 
   
成功案例
中国银行 信息安全技术及深度
北京和利 性能和安全性
北京 Web应用安全架构、入侵

相关课程  
WEB网站与应用安全原理与实践
web应用安全架构设计
创建安全的Java/J2EE Web代码
注册信息安全专业人员(CISP)
信息安全管理
信息安全问题与防范
 

WEB网站与应用安全原理与实践     1003 次浏览    94 次 
 
专家讲师:刘老师,某知名互联网公司安全专家,精通web站点安全设计与防护。
时间地点:北京;上海 深圳 根据报名开班
课程费用:5000元/人 (学生3折),详见 公开课学习手册
企业内训: 可以根据企业需求,定制内训,详见 内训学习手册
 

很多关键业务都是通过web网站提供互联网服务,而互联网的公开性也造成了网站很容易受到攻击,如何建立web应用安全,已经成为web应用的最关键质量。本课程适应大家的迫切需求,提供web应用安全的整体解决方案。

本课程结合典型的安全危机事件实例,让学员全面了解安全相关的理论、技术和工具。包括

  1. 安全基于威胁建模的安全防范原理、
  2. WEB应用常见威胁及其对策、
  3. 安全相关工具(黑客攻击工具和安全检测工具)、
  4. 开发人员的安全意识培养。

其中第1、2、3部分是本课程的重点。

 
 

课程关注的问题:

  • Web网站的安全体系框架原理你了解么
  • 如何规划资源,建立合理的安全防范层次
  • Web网站的攻击手段有哪些
  • 如何预先检查可能存在的网站漏洞
  • 如何建立完整的web网站防护措施
  • 如何监视并报告当前正在发生的攻击
  • 当攻击发生的时候,如何进行内层防护web网站
    • 如何建立web网站资源的安全配置
    • 如何进行安全连接加密
    • 如何防止SQL注入攻击
    • 如何防止阻塞攻击
    • 如何防止密码破译
    • 如何防止木马程序的注入
    • 如何建立
  • 如何进行安全审计
  • 如何培养人员安全意识
培训对象:软件设计人员、开发人员和测试人员
学员基础:至少2年以上系统维护、管理经验。有实际项目经验。
授课方式: 定制课程 + 案例讲解 + 小组讨论,60%案例讲解,40%实践演练
培训内容: 2天
练习方式:3人一组:分别模拟 客户方/服务器方/攻击方;
安全意识
安全相关案例解读
  • 黑客组织:窃取Sun电子邮件 存储在中国境内
  • SSL系统遭入侵发布虚假密钥
  • RSA高管呼吁采用新的信息安全方法
  • Oracle周二将发布批量补丁 影响数百款产品
  • 微软高信度计算
案例讨论:2010 最突出的10项安全漏洞
安全原理:威胁建模
  • 标识资源(敏感数据)
  • 创建总体体系结构
  • 分解应用程序标识特权代码
  • 识别威胁
  • 记录威胁
  • 评价威胁

练习:对“网银”系统进行威胁建模

如何检查web应用漏洞
  • 常见的操作系统漏洞和检查方法
  • 常见的数据库漏洞和检查方法
  • Web服务漏洞和检查方法
  • 网络通信漏洞和检查方法
  • 配置文件漏洞和检查方法
  • 其他资源漏洞和检查方法
常见攻击工具
Mpack
Neosploit
ZeuS
Nukesploit P4ck
Phoenix
常见安全检查工具
IBM Rational AppScan
WebInspect
NStalker-WAS
Acunetix Web Vulnerability Scanner
练习:使用AppScan检查WEB应用安全漏洞
基础技能
加密解密
散列原理与算法
基于证书的签名与加密
访问权限列表(ACL)
安全协议:SSL,IPSec,Kerberos协议
网络威胁与对策
  • 网络组件:路由器、防火墙和交换机
  • 信息收集
  • 探查
  • 欺骗
  • 会话劫持
  • 中间人攻击
练习:使用网络探测器
主机威胁与对策
  • 病毒、特洛伊木马和蠕虫
  • 信息收集
  • 破解密码
  • 拒绝服务
  • 任意执行代码
  • 未授权访问
讨论:红色代码病毒及其危害
WEB应用常见威胁及其对策
  • 输入验证: 缓冲区溢出攻击
  • 跨站点脚本编写
  • SQL注入攻击
  • 标准化漏洞
  • 身份验证相关的威胁及其对策
  • 针对授权的威胁及其对策
  • 针对配置管理的威胁及对策
  • 安全的加密
  • 对抗针对操作查询字符串 的威胁
  • 异常处理
练习:针对“网银系统”漏洞发起相关攻击
进行安全审计
使用日志跟踪安全相关事件
将日志写入文件/数据库
使用系统安全日志
做好开发层次安全
代码访问安全
用户验证
输入检查
应用安全规则进行静态代码安全隐患分析
线程安全
针对URL授权
序列化/反序列化安全
代码混淆
练习:1)使用代码混淆器2)针对“网银系统”漏洞继续发起攻击;3)应用安全规则自查
培养安全意识
建立安全管理和开发、维护规范
及时发现安全事件
按照合理的流程处理安全问题
把安全降低到最小影响
1003 次浏览   94 次
其他人还看了课程
注册信息安全专业人员(CISP)  1241 次浏览
云服务与安全架构  1102 次浏览
AI和大数据技术在云安全上的应用  60 次浏览
互联网安全开发方法与实践  241 次浏览
创建安全的JavaJ2EE Web应用代码  865 次浏览
系统安全运维管理  637 次浏览
定制内训



咨询服务:安全评测与体系建设
咨询目标 帮助客户对当前系统进行安全评测
帮助客户建立安全架构
帮助客户建立安全管理体系。
咨询范围 网站安全,信息安全,web应用安全,移动端安全,通信网络安全,数据库安全,应用服务安全。
咨询方式 安全评测指标与体系建立,
对当前系统进行安全评测
安全架构设计
安全管理体系建设
成功案例 中国银行,亚信联创,某电商金融公司,当当网,万达电商
详情咨询:010-62670969, zhgx@uml.net.cn

最新活动计划
[北京热门]UML和EA系统分析设计 1-20
[北京]高级性能测试与性能分析 1-8
[北京]开发过程中质量管理实践 1-11
[北京特惠]电商架构看高可用架构设计1-13
[北京]白盒测试技术与工具实践 1-18
[北京特惠]产品经理与产品管理 1-27
[北京]微服务架构设计与实践 3-10
[上海]人工智能机器和深度学习1-11
[上海特惠]UML和EA系统分析设计 1-18
[深圳特惠]UML和EA系统分析设计 1-26
[深圳]Hadoop大数据处理最佳实践 3-26
 
 
 

 
每天2个文档/视频
扫描微信二维码订阅
订阅技术月刊
获得每月300个技术资源
 
希望我们的资料可以帮助你学习,也欢迎投稿&提建议给我
频道编辑:sky
邮       件:sky@uml.net.cn

关于我们 | 联系我们 | 京ICP备10020922号 京公海网安备110108001071号