求知 文章 文库 Lib 视频 iPerson 课程 认证 咨询 工具 讲座 Model Center   Code  
会员   
 
 
 
开班计划 | 技术学院 | 管理学院 | 嵌入式学院 | 机械 | 军工学院 | 定向培养 | 专家指导  
 电话 English
成功案例   品质保证
 
   
成功案例
西门子西 网络安全、嵌入式软
GE 区块链技术与实现
中国银行 信息安全技术及深度
北京和利 性能和安全性
北京 Web应用安全架构、入侵

相关课程  
WEB网站与应用安全原理与实践
web应用安全架构设计
创建安全的Java/J2EE Web代码
注册信息安全专业人员(CISP)
信息安全管理
信息安全问题与防范
 

全部课程 >安全  
WEB网站与应用安全原理与实践   
2651 次浏览  9 次
刘老师
某知名互联网公司安全专家,精通web站点安全设计与防护。
 
时间地点:北京 上海 深圳 根据报名开班
课程费用:5000元/人,详见 公开课学习手册
企业内训:可以根据企业需求,定制内训,详见 内训学习手册



认证方式:
培训前了解能力模型。
培训后进行能力评测:
  • 在线考试
  • 能力分析,给出学习建议
  • 合格者颁发证书,作为职业技能资格证明


    很多关键业务都是通过web网站提供互联网服务,而互联网的公开性也造成了网站很容易受到攻击,如何建立web应用安全,已经成为web应用的最关键质量。本课程适应大家的迫切需求,提供web应用安全的整体解决方案。

    本课程结合典型的安全危机事件实例,让学员全面了解安全相关的理论、技术和工具。包括

    1. 安全基于威胁建模的安全防范原理、
    2. WEB应用常见威胁及其对策、
    3. 安全相关工具(黑客攻击工具和安全检测工具)、
    4. 开发人员的安全意识培养。

    其中第1、2、3部分是本课程的重点。

    培训目标:

    • Web网站的安全体系框架原理你了解么
    • 如何规划资源,建立合理的安全防范层次
    • Web网站的攻击手段有哪些
    • 如何预先检查可能存在的网站漏洞
    • 如何建立完整的web网站防护措施
    • 如何监视并报告当前正在发生的攻击
    • 当攻击发生的时候,如何进行内层防护web网站
      • 如何建立web网站资源的安全配置
      • 如何进行安全连接加密
      • 如何防止SQL注入攻击
      • 如何防止阻塞攻击
      • 如何防止密码破译
      • 如何防止木马程序的注入
      • 如何建立
    • 如何进行安全审计
    • 如何培养人员安全意识
    培训对象:软件设计人员、开发人员和测试人员
    学员基础:至少2年以上系统维护、管理经验。有实际项目经验。
    授课方式: 定制课程 + 案例讲解 + 小组讨论,60%案例讲解,40%实践演练

    培训内容:2天

    (练习方式:3人一组:分别模拟 客户方/服务器方/攻击方;)
    安全意识
    安全相关案例解读
    • 黑客组织:窃取Sun电子邮件 存储在中国境内
    • SSL系统遭入侵发布虚假密钥
    • RSA高管呼吁采用新的信息安全方法
    • Oracle周二将发布批量补丁 影响数百款产品
    • 微软高信度计算
    案例讨论:2010 最突出的10项安全漏洞
    安全原理:威胁建模
    • 标识资源(敏感数据)
    • 创建总体体系结构
    • 分解应用程序标识特权代码
    • 识别威胁
    • 记录威胁
    • 评价威胁

    练习:对“网银”系统进行威胁建模

    如何检查web应用漏洞
    • 常见的操作系统漏洞和检查方法
    • 常见的数据库漏洞和检查方法
    • Web服务漏洞和检查方法
    • 网络通信漏洞和检查方法
    • 配置文件漏洞和检查方法
    • 其他资源漏洞和检查方法
    常见攻击工具
    Mpack
    Neosploit
    ZeuS
    Nukesploit P4ck
    Phoenix
    常见安全检查工具
    IBM Rational AppScan
    WebInspect
    NStalker-WAS
    Acunetix Web Vulnerability Scanner
    练习:使用AppScan检查WEB应用安全漏洞
    基础技能
    加密解密
    散列原理与算法
    基于证书的签名与加密
    访问权限列表(ACL)
    安全协议:SSL,IPSec,Kerberos协议
    网络威胁与对策
    • 网络组件:路由器、防火墙和交换机
    • 信息收集
    • 探查
    • 欺骗
    • 会话劫持
    • 中间人攻击
    练习:使用网络探测器
    主机威胁与对策
    • 病毒、特洛伊木马和蠕虫
    • 信息收集
    • 破解密码
    • 拒绝服务
    • 任意执行代码
    • 未授权访问
    讨论:红色代码病毒及其危害
    WEB应用常见威胁及其对策
    • 输入验证: 缓冲区溢出攻击
    • 跨站点脚本编写
    • SQL注入攻击
    • 标准化漏洞
    • 身份验证相关的威胁及其对策
    • 针对授权的威胁及其对策
    • 针对配置管理的威胁及对策
    • 安全的加密
    • 对抗针对操作查询字符串 的威胁
    • 异常处理
    练习:针对“网银系统”漏洞发起相关攻击
    进行安全审计
    使用日志跟踪安全相关事件
    将日志写入文件/数据库
    使用系统安全日志
    做好开发层次安全
    代码访问安全
    用户验证
    输入检查
    应用安全规则进行静态代码安全隐患分析
    线程安全
    针对URL授权
    序列化/反序列化安全
    代码混淆
    练习:1)使用代码混淆器2)针对“网银系统”漏洞继续发起攻击;3)应用安全规则自查
    培养安全意识
    建立安全管理和开发、维护规范
    及时发现安全事件
    按照合理的流程处理安全问题
    把安全降低到最小影响
     
    2651 次浏览  9 次
    其他人还看了课程
    FMEA(DFMEA+PFMEA)方法与实践  936 次浏览
    云服务与安全架构  2286 次浏览
    AI和大数据技术在云安全上的应用  1078 次浏览
    信息安全问题与防范  2195 次浏览
    系统安全运维管理  1709 次浏览
    IT安全原理、框架与实践  2190 次浏览
    定制内训


    咨询服务:安全评测与体系建设
    咨询目标 帮助客户对当前系统进行安全评测
    帮助客户建立安全架构
    帮助客户建立安全管理体系。
    咨询范围 网站安全,信息安全,web应用安全,移动端安全,通信网络安全,数据库安全,应用服务安全。
    咨询方式 安全评测指标与体系建立,
    对当前系统进行安全评测
    安全架构设计
    安全管理体系建设
    成功案例 中国银行,亚信联创,某电商金融公司,当当网,万达电商
    详情咨询:010-62670969, zhgx@uml.net.cn
    课程计划
    产品需求分析与管理 8-25 [北京]
    微服务开发原理与实战 8-30 [北京]
    大数据统计分析方法与工具 9-1 [北京]
    基于UML和EA进行分析设计 9-6 [北京]
    软件重构与软件设计模式 9-13 [北京]
    微服务+领域驱动实战训练营 9-28 [北京]