安全意识 |
安全相关案例解读
- 黑客组织:窃取Sun电子邮件 存储在中国境内
- SSL系统遭入侵发布虚假密钥
- RSA高管呼吁采用新的信息安全方法
- Oracle周二将发布批量补丁 影响数百款产品
- 微软高信度计算
案例讨论:2010 最突出的10项安全漏洞 |
安全原理:威胁建模
|
- 标识资源(敏感数据)
- 创建总体体系结构
- 分解应用程序标识特权代码
- 识别威胁
- 记录威胁
- 评价威胁
练习:对“网银”系统进行威胁建模 |
如何检查web应用漏洞
|
- 常见的操作系统漏洞和检查方法
- 常见的数据库漏洞和检查方法
- Web服务漏洞和检查方法
- 网络通信漏洞和检查方法
- 配置文件漏洞和检查方法
- 其他资源漏洞和检查方法
|
常见攻击工具 |
Mpack
Neosploit
ZeuS
Nukesploit P4ck
Phoenix |
常见安全检查工具 |
IBM Rational AppScan
WebInspect
NStalker-WAS
Acunetix Web Vulnerability Scanner
练习:使用AppScan检查WEB应用安全漏洞 |
基础技能
|
加密解密
散列原理与算法
基于证书的签名与加密
访问权限列表(ACL)
安全协议:SSL,IPSec,Kerberos协议 |
网络威胁与对策 |
- 网络组件:路由器、防火墙和交换机
- 信息收集
- 探查
- 欺骗
- 会话劫持
- 中间人攻击
练习:使用网络探测器 |
主机威胁与对策 |
- 病毒、特洛伊木马和蠕虫
- 信息收集
- 破解密码
- 拒绝服务
- 任意执行代码
- 未授权访问
讨论:红色代码病毒及其危害 |
WEB应用常见威胁及其对策
|
- 输入验证: 缓冲区溢出攻击
- 跨站点脚本编写
- SQL注入攻击
- 标准化漏洞
- 身份验证相关的威胁及其对策
- 针对授权的威胁及其对策
- 针对配置管理的威胁及对策
- 安全的加密
- 对抗针对操作查询字符串 的威胁
- 异常处理
练习:针对“网银系统”漏洞发起相关攻击 |
进行安全审计 |
使用日志跟踪安全相关事件
将日志写入文件/数据库
使用系统安全日志 |
做好开发层次安全 |
代码访问安全
用户验证
输入检查
应用安全规则进行静态代码安全隐患分析
线程安全
针对URL授权
序列化/反序列化安全
代码混淆
练习:1)使用代码混淆器2)针对“网银系统”漏洞继续发起攻击;3)应用安全规则自查 |
培养安全意识 |
建立安全管理和开发、维护规范
及时发现安全事件
按照合理的流程处理安全问题
把安全降低到最小影响 |
