|
|
|
|
|
全部课程 >安全 |
|
代码安全审计及验证方法 |
1419 次浏览  31 次
|
|
| |
| 时间地点:北京
、 上海、深圳 根据报名开班 |
| 课程费用:5000元/人 |
|
|
|
| 企业内训:可以根据企业需求,定制内训,详见
内训学习手册 |
|
在本课程中,学员们将对代码安全测试和审计的途径、技术和工具有一个全面的了解。通过本次培训,将对整体基于OWASP
Top10安全威胁分类进行分析说明,对代码安全审计的前置工具进行介绍和教学;最后结合业务流程引入常见Java
Web漏洞并结合Java代码进行漏洞分析来保证课程的实际应用效果;初次之外,本次培训还会讲解因中间件配置不当导致的业务安全问题;业务漏洞修复成本随着业务需求分析、构建、测试、发布、运维五个阶段的修复成本递增,甚至有些漏洞的修复需要回退到需求分析阶段,本次授课的目的是指导开发人员安全能力的左移,尽早发现潜在安全威胁。
|
| 培训目标: |
•
使学员深入了解安全威胁分类,并介绍代码审计流程
•了解代码安全审计工具的使用方法
•掌握人工代码安全审计方法,
• 掌握因中间件配置不当带来的业务安全风险,
• 在构建阶段辨识开发框架安全漏洞,如MyBatis,iBatis,JDBC等,
• 能按照实际业务流程分析潜在安全风险,
• 通过安全开发思维显著降级漏洞数量,提升安全开发工作效率。 |
| 培训对象:软件开发工程师 |
| 学员基础:具有web应用和服务端开发经验
|
| 授课方式:
定制课程 + 案例讲解 + 小组讨论,60%案例讲解,40%实践演练 |
| 培训内容:2天
|
| Web开发架构发展历史和安全威胁分类介绍 |
通过近年来的Web结构变化引入课题;分析近几年来OWASP
TOP10的变化来引入安全威胁分类:
• 注入
• 失效的身份验证
• 敏感数据泄露
• XML外部实体攻击
• 失效的访问控制
• 安全配置缺失
• 跨站脚本攻击
• 不安全的反序列化
• 使用已知漏洞的组件
• 不安全的日志监控
常见场景下的漏洞是产生原因
• 开发人员安全意识的缺失
• 开发人员安全开发管控落实不到位
• 开发人员使用已经存在漏洞的安全组件
• 开发人员对用户的输入信任过高
• 需求设计阶段业务逻辑设计不严谨
|
| 代码审计前置知识和工具介绍 |
白盒测试工具介绍和使用教学:
• Fority静态代码审计工具
• Seay静态代码审计工具
了解代码审计在业务开发阶段是如何应用的:
场景A:新业务系统上线;通过Fority进行全量代码扫描
场景B:在开发阶段,使用Fority进行实时代码扫描
场景C:业务迭代,通过定位敏感函数,快速定位潜在安全威胁
以及人工排除误报的思路:
• 黑白盒交替思路分享
|
| 常见Web漏洞和业务逻辑漏洞 |
常见Java
Web漏洞产生原因和代码缺陷追踪方法介绍,结合场景实例对Web漏洞的安全问题进行分析和提供修复建议。
• SQL注入
• XSS攻击【存储型、反射型、DOM型】
• XML外部实体工具
• 任意文件下载类
• 文件上传类
• 会话管理类
• 逻辑绕过类
• 接口调用类
对一些业务逻辑漏洞的产生原因进行介绍,例如:
• 身份验证安全
• 业务逻辑篡改
• 密码找回漏洞
• 业务接口调用
• 业务流程乱序
以及避免业务逻辑漏洞产生的开发思维赋能。例如:
• 避免任意密码重置
• 避免业务逻辑绕过
|
| 常见JAVA开发框架漏洞代码分析 |
针对常见的Java开发框架,如MyBatis,iBatis,JDBC等,并结合框架讲解。
• XSS注入
• SQL注入、
• 会话管理漏洞
• 业务逻辑漏洞
• 上传类漏洞
• XML类漏洞
|
| 安全控制建议 |
针对开发人员的安全控制;
• 威胁模型理解
• 安全需求验证
• API安全测试
测试人员的安全控制要求:
• 安全需求理解
• 框架安全理解
• 用户输入识别与追踪
• 安全会话管理
• 数据保护
• 异常处理
|
|
| |
|
|
| |
|
|
|
|
1419 次浏览 31 次
|
| 其他人还看了课程 |
|
|
|
