求知 文章 文库 Lib 视频 iPerson 课程 认证 咨询 工具 讲座 Model Center   Code  
会员   
 
 
 
开班计划 | 技术学院 | 管理学院 | 嵌入式学院 | 机械 | 军工学院 | 定向培养 | 专家指导  
 电话 English
成功案例   品质保证
 
   
成功案例
西门子西 网络安全、嵌入式软
GE 区块链技术与实现
中国银行 信息安全技术及深度
北京和利 性能和安全性
北京 Web应用安全架构、入侵

相关课程  
WEB网站与应用安全原理与实践
web应用安全架构设计
创建安全的Java/J2EE Web代码
注册信息安全专业人员(CISP)
信息安全管理
信息安全问题与防范
 

全部课程 >安全  
Web网络安全与渗透测试实践训练营 
3426 次浏览  53 次
Ramon
Intel资深软件调试专家、网络安全专家。
 
时间地点:在线 北京 上海 深圳根据报名开班
课程费用:5700元/人
企业内训:可根据企业需求,定制内训,详见 内训学习手册



认证方式:
培训前了解能力模型。
培训后进行能力评测:
  • 在线考试
  • 能力分析,给出学习建议
  • 合格者颁发证书,作为职业技能资格证明


    围绕网络安全这一主题,本训练营重点覆盖以下三方面的内容:(一)渗透测试的理论基础和核心工具;(二)典型安全问题的攻防原理,包括SQL注入、Cross-Site Scripting(XSS)、CSRF、缓冲区溢出等;(三)提高Web系统安全性的最佳实践。整个训练营理论与实战密切结合,通过大量的演示和动手试验理解网络安全的关键问题,启发思考。

    培训目标

  • Web应用安全基础
  • 渗透测试
  • 数字签名和用户认证
  • XSS攻击和浏览器安全
  • CSRF和会话管理
  • SQL注入和数据库安全
  • 服务器端文件安全原则
  • 威胁建模和风险评估
  • 安全开发
  • App 移动业务安全和漏洞分析
  • 云安全初步
  • 培训对象:web开发工程师,测试工程师
    学员基础:熟悉web站点搭建和维护
    授课方式: 定制课程 + 案例讲解 + 小组讨论,60%案例讲解,40%实践演练

    培训内容:2天
    主题
    安排
    第一部分:Web应用安全基础 要点:70%的网络攻击是通过网络应用,
    防火墙对Web应用攻击爱莫能助,
    网络安全与应用安全比较,
    HTTP基础(请求、HTTP头、HTTP方法、HTTP应答、状态码),Open Web Application Security Project(OWASP),
    OWASP的十大Web应用漏洞列表,
    最危险的25个软件错误,输入验证,黑名单验证,白名单验证,缩小攻击面,DataTable v.s. DataSet(.Net实例),threat classification,STRIDE,IIMF,Common Weakness Enumeration (CWE),
    重要的学习资源——DVWA、mutillidae样本网站
    第二部分:渗透测试 要点:Pentest,背景,测试过程,重要资源,Kali Linux,
    环境搭建,重要工具,
    Burp Suite详解(Instrder, Comparer, Repeater, Decode, Sequencer), NMAP,
    Wireshark,Metasploit,Armitage;
    演习目标,Metasploitable 2,
    下载和安装,
    主机入侵完整过程演示(利用IRC漏洞远程登录被攻克目标机)
    第三部分:数字签名和用户认证

    要点:对称加密,非对称加密,RSA算法,公钥,私钥,
    两种基本应用模式,Public Key Infrastructure(PKI),
    数字证书,X.509V3 ,Key的保护和管理,对文件进行数字签名的工具和方法,文件加密,
    案例分析:12306网站的数字证书,
    基于密码(Password)的认证,密码攻击,
    Man-in-the-Middle攻击(Hash-Identifier和findmyhash工具演示),
    使用Hydra暴力破解密码,
    关于密码保护的最佳实践,
    Single sign-on (SSO),
    自定义的认证系统,OAuth

    第四部分:XSS攻击和浏览器安全 要点:同源原则,例外,cross-origin resource sharing (CORS),XDomainRequest;cross-site scripting (or XSS),
    XSS攻击,Reflected XSS (Type-1 XSS),Stored XSS(Type-2 XSS), DOM-based XSS (Type-0 XSS),
    HTML Injection,
    防卫方法:输出编码,净化输入,HttpOnly;
    Cross-Site Request Forgery (CSRF),
    案例:2011年3月发现的Android Market漏洞,HTTP GET,使用BeEF和MSF颠覆IE,防卫CSRF攻击
    第五部分:CSRF和会话管理 要点:HTTP验证,基本的HTTP访问验证,
    使用哈希算法的访问验证,
    Windows认证,
    Secure Socket Layer(SSL), SSL认证过程,
    会话管理,授权基础,目标,授权过程,
    访问控制模型:Discretionary Access Control (DAC)、
    Mandatory Access Control (MAC)、Role-Based Access Control (RBAC)、
    混合方案,许可类型,分层模型,客户端攻击,
    Time of check to time of use(TOCTOU),
    Cross-Site Request Forgery (CSRF),
    Session ID,会话状态,Cookie,cookie poisoning,SSL和HTTPS,Session Hijacking,
    最佳实践:强制会话超时,控制会话并发,安全使用cookie,HttpOnly
    第六部分:SQL注入和数据库安全
    要点:SQL Injection,原理,演示,
    真实案例:2011年LulzSec组织对Sony Music网站的SQL Injection攻击,
    防卫方法;设置数据库许可,存储过程,特权控制,
    ad-hoc SQL,直接对象引用,解决方案
    第七部分:服务器端文件安全原则

    要点:静态内容和动态内容,
    文件备份,forceful browsing,
    目录枚举,
    不安全的直接对象引用,
    扩展名猜测,
    案例分析

    第八部分:威胁建模和风险评估 要点:静态内容和动态内容,
    文件备份,forceful browsing,
    目录枚举,
    不安全的直接对象引用,
    扩展名猜测,
    案例分析
    第九部分:安全开发 要点:安全编程的基本原则,
    SDL(Security Development Lifecycle),
    托管代码的安全优势,
    .Net框架中的安全设施,
    安全的库,
    Visual C++中有关的编译和链接选项(/GS, /SAFESEH, /NX, /DYNAMICBASE),安全测试,
    OWASP Comprehensive Lightweight Application Security Process (CLASP),Security = Hardware + Software + Process,Software Assurance Maturity Model (SAMM)
    第十部分:App 移动业务安全和漏洞分析 要点:安卓操作系统的安全模型,
    内建的安全设施:ASLR、DEP、safe_iop、dlmalloc扩展,
    IPC和binder机制,基于intent的攻击举例,
    NFC和基于NFC的攻击,
    拦截网络数据,信息泄露,
    移动恶件(Malware)举例,
    移动浏览器和WebView,
    对WebView的攻击,WEB服务,
    针对XML-WEB服务的攻击,
    对WebView的攻击案例分析,
    为安卓应用做渗透测试(过程和主要工具),
    为iOS应用做渗透测试
    第十一部分:云安全初步 要点:云安全联盟(CSA)定义的主要威胁(Top Threats to Cloud Computing),
    云服务存在的主要漏洞排名,
    跨虚拟机攻击,
    多级云安全(MTCS)标准,
    云安全事故案例分析
     
    3426 次浏览  53 次
    其他人还看了课程
    物联网安全理论与技术  3121 次浏览
    FMEA(DFMEA+PFMEA)方法与实践  2319 次浏览
    云服务与安全架构  3836 次浏览
    AI和大数据技术在云安全上的应用  2074 次浏览
    创建安全的JavaJ2EE Web应用代码  3538 次浏览
    互联网安全开发方法与实践  2798 次浏览
    定制内训


    咨询服务:安全评测与体系建设
    咨询目标 帮助客户对当前系统进行安全评测
    帮助客户建立安全架构
    帮助客户建立安全管理体系。
    咨询范围 网站安全,信息安全,web应用安全,移动端安全,通信网络安全,数据库安全,应用服务安全。
    咨询方式 安全评测指标与体系建立,
    对当前系统进行安全评测
    安全架构设计
    安全管理体系建设
    成功案例 中国银行,亚信联创,某电商金融公司,当当网,万达电商
    详情咨询:010-62670969, zhgx@uml.net.cn
    课程计划
    LLM大模型应用与项目构建 12-26[特惠]
    QT应用开发 11-21[线上]
    C++高级编程 11-27[北京]
    业务建模&领域驱动设计 11-15[北京]
    用户研究与用户建模 11-21[北京]
    SysML和EA进行系统设计建模 11-28[北京]