求知 文章 文库 Lib 视频 iPerson 课程 认证 咨询 工具 讲座 Model Center   Code  
会员   
 
 
 
开班计划 | 技术学院 | 管理学院 | 嵌入式学院 | 机械 | 军工学院 | 定向培养 | 专家指导  
 电话 English
成功案例   品质保证
 
   
成功案例
GE 区块链技术与实现
中国银行 信息安全技术及深度
北京和利 性能和安全性
北京 Web应用安全架构、入侵

相关课程  
WEB网站与应用安全原理与实践
web应用安全架构设计
创建安全的Java/J2EE Web代码
注册信息安全专业人员(CISP)
信息安全管理
信息安全问题与防范
 
全部课程 >安全  
代码安全审计及验证方法
220 次浏览  1 次
刘老师
目前单位某互联网企业安全开发平台产品经理
 
时间地点:北京 、 上海、深圳 根据报名开班
课程费用:5000元/人
报公开课  
企业内训:可以根据企业需求,定制内训,详见 内训学习手册

在本课程中,学员们将对代码安全测试和审计的途径、技术和工具有一个全面的了解。通过本次培训,将对整体基于OWASP Top10安全威胁分类进行分析说明,对代码安全审计的前置工具进行介绍和教学;最后结合业务流程引入常见Java Web漏洞并结合Java代码进行漏洞分析来保证课程的实际应用效果;初次之外,本次培训还会讲解因中间件配置不当导致的业务安全问题;业务漏洞修复成本随着业务需求分析、构建、测试、发布、运维五个阶段的修复成本递增,甚至有些漏洞的修复需要回退到需求分析阶段,本次授课的目的是指导开发人员安全能力的左移,尽早发现潜在安全威胁。

培训目标:
• 使学员深入了解安全威胁分类,并介绍代码审计流程
•了解代码安全审计工具的使用方法
•掌握人工代码安全审计方法,
• 掌握因中间件配置不当带来的业务安全风险,
• 在构建阶段辨识开发框架安全漏洞,如MyBatis,iBatis,JDBC等,
• 能按照实际业务流程分析潜在安全风险,
• 通过安全开发思维显著降级漏洞数量,提升安全开发工作效率。
培训对象:软件开发工程师
学员基础:具有web应用和服务端开发经验
授课方式: 定制课程 + 案例讲解 + 小组讨论,60%案例讲解,40%实践演练
培训内容:2天

Web开发架构发展历史和安全威胁分类介绍 通过近年来的Web结构变化引入课题;分析近几年来OWASP TOP10的变化来引入安全威胁分类:
• 注入
• 失效的身份验证
• 敏感数据泄露
• XML外部实体攻击
• 失效的访问控制
• 安全配置缺失
• 跨站脚本攻击
• 不安全的反序列化
• 使用已知漏洞的组件
• 不安全的日志监控
常见场景下的漏洞是产生原因
• 开发人员安全意识的缺失
• 开发人员安全开发管控落实不到位
• 开发人员使用已经存在漏洞的安全组件
• 开发人员对用户的输入信任过高
• 需求设计阶段业务逻辑设计不严谨
代码审计前置知识和工具介绍 白盒测试工具介绍和使用教学:
• Fority静态代码审计工具
• Seay静态代码审计工具
了解代码审计在业务开发阶段是如何应用的:
场景A:新业务系统上线;通过Fority进行全量代码扫描
场景B:在开发阶段,使用Fority进行实时代码扫描
场景C:业务迭代,通过定位敏感函数,快速定位潜在安全威胁
以及人工排除误报的思路:
• 黑白盒交替思路分享
常见Web漏洞和业务逻辑漏洞 常见Java Web漏洞产生原因和代码缺陷追踪方法介绍,结合场景实例对Web漏洞的安全问题进行分析和提供修复建议。
• SQL注入
• XSS攻击【存储型、反射型、DOM型】
• XML外部实体工具
• 任意文件下载类
• 文件上传类
• 会话管理类
• 逻辑绕过类
• 接口调用类
对一些业务逻辑漏洞的产生原因进行介绍,例如:
• 身份验证安全
• 业务逻辑篡改
• 密码找回漏洞
• 业务接口调用
• 业务流程乱序
以及避免业务逻辑漏洞产生的开发思维赋能。例如:
• 避免任意密码重置
• 避免业务逻辑绕过
常见JAVA开发框架漏洞代码分析 针对常见的Java开发框架,如MyBatis,iBatis,JDBC等,并结合框架讲解。
• XSS注入
• SQL注入、
• 会话管理漏洞
• 业务逻辑漏洞
• 上传类漏洞
• XML类漏洞
安全控制建议 针对开发人员的安全控制;
• 威胁模型理解
• 安全需求验证
• API安全测试
测试人员的安全控制要求:
• 安全需求理解
• 框架安全理解
• 用户输入识别与追踪
• 安全会话管理
• 数据保护
• 异常处理
   
220 次浏览  1 次
其他人还看了课程
信息安全等级保护2.0培训  765 次浏览
企业安全建设之路  1252 次浏览
安全架构、实现与验证  1549 次浏览
物联网原理与应用  4989 次浏览
区块链安全技术实践指南  448 次浏览
麦洛克菲-系统安全漏洞  1525 次浏览
定制内训


咨询服务:模型驱动的开发过程
咨询目标 帮助建立模型驱动的分析、设计、开发,测试
咨询范围 需求建模,架构建模,数据库建模,code建模,测试建模。
建模工
咨询方式 模型驱动的开发过程培训,建模与管理工具环境搭建,结合客户实际案例示范,团队实践指导,模型评价标准制定,规范制定
成功案例 华为研究发展中心,中科院空间中心,南京14所,中国移动研究院等等。
详情咨询:010-62670969, zhgx@uml.net.cn
课程计划
配置管理方法、实践与应用 10-11[北京]
持续集成测试与最佳实践 10-23[北京]
嵌入式软件架构设计与实例 10-25[北京]
嵌入式linux内核、开发、优化 10-28[北京]
高可用架构设计与实践 10-29[北京]
C#高级开发技术 11-8[北京]