求知 文章 文库 Lib 视频 iPerson 课程 认证 咨询 工具 讲座 Model Center   Code  
会员   
 
 
 
开班计划 | 技术学院 | 管理学院 | 嵌入式学院 | 机械 | 军工学院 | 定向培养 | 专家指导 | 角色培养  
 电话 English
成功案例   品质保证
 
成功案例
西门子西 网络安全、嵌入式软
GE 区块链技术与实现
中国银行 信息安全技术及深度
北京和利 性能和安全性
北京 Web应用安全架构、入侵

相关课程  
WEB网站与应用安全原理与实践
web应用安全架构设计
创建安全的Java/J2EE Web代码
注册信息安全专业人员(CISP)
信息安全管理
信息安全问题与防范
 
全部课程 >安全  
Web安全开发
1665 次浏览  53 次
汤老师
资深安全专家
 
时间地点:北京 、 上海、深圳 根据报名开班
课程费用:4500元/人
报公开课  
企业内训:可以根据企业需求,定制内训,详见 内训学习手册


认证方式:
培训前了解能力模型。
培训后进行能力评测:
  • 在线考试
  • 能力分析,给出学习建议
  • 合格者颁发证书,作为职业技能资格证明


    近年来,随着互联网的普及,web安全问题日益受到重视,本课程对Web安全进行全面的讲解,关注各种web安全漏洞,参照OWASP top10,以及各大漏洞提交平台及SRC最常出现的漏洞进行归纳总结。每个主题按照漏洞原理、漏洞代码分析、测试方法及工具、漏洞防范措施、如何开发出安全的代码,五大详细内容分类来进行深入讲解。
    整个课程包含了大量的实际项目案例,通过案例阐述在实际项目中的应用,让开发人员深入理解和学习每种漏洞的原理、测试、预防措施,开发出安全的程序,在开发阶段就杜绝产品的漏洞问题。

    培训对象:渗透测试人员、Web开发人员、安全开发、安全咨询顾问
    学员基础:有一定程序设计语言基础,对安全漏洞有一定基础概念
    授课方式: 定制课程 + 案例讲解 + 小组讨论,60%案例讲解,40%实践演练
    培训内容:2天

    1、SQL注入漏洞 1.sql注入漏洞原理
    2.sql注入漏洞测试方法(演示,案例)
    --常见注入类型(字符、数字、搜索)
    --盲注(boolian base&time base)
    3.sql-map使用介绍(演示)
    4.sql注入防范措施
    5.解决SQL注入的安全开发方法
    2、命令执行 1.系统命令注入漏洞原理
    2.系统命令漏洞测试方法(演示,案例)
    3.系统命令注入防范
    4.解决系统命令注入的安全开发方法

    3、代码注入 1.代码注入漏洞原理
    2.代码注入漏洞测试方法(演示,案例)
    --include()
    --eval()
    3.代码注入防范措施
    4.解决代码注入的安全开发方法

    4、文件上传漏洞 1.不安全的上传漏洞
    --客户端验证问题
    --服务端验证问题
    (MIME type,getimagesize())
    2.不安全的下载漏洞
    3.防范措施
    4.解决文件上传漏洞的安全开发方法

    5、文件包含 1. 文件包含漏洞原理
    2.代码注入漏洞测试方法(演示,案例)
    --远程文件包含
    --本地文件包含
    3. 文件包含防范措施
    4.解决文件包含的安全开发方法

    6、跨站脚本攻击(XSS) 1.跨站脚本漏洞原理
    2.跨站脚本测试方法(演示、案例)
    --反射性xss(get&post)
    --存储型xss
    --dom型xss
    3.防范措施
    4.解决XSS的安全开发方法
    7、跨站请求伪造(CSRF) 1.跨站请求伪造原理
    2.跨站请求伪造测试方法(演示、案例)
    --csrf (get)
    --csrf(post)
    3.防范措施
    --token是如何防止csrf的
    4.解决CSRF的安全开发方法

    8、暴力破解 1.暴力破解攻击及漏洞原理
    2.暴力破解漏洞测试方法(演示、案例)
    3.burp-suite使用介绍(基于表单的暴力破解演示)
    4.不安全的验证码(演示、案例)
    5.防范措施
    6.解决暴力破解的安全开发方法
    9、不安全的会话管理 1.不安全的“会话超时”测试方法
    2.不安全的“会话暴露”测试方法
    3.会话固定漏洞测试方法(案例)
    4.防范措施
    5.解决不安全的会话管理的安全开发方法
    10、安全配置错误 1.目录遍历(案例)
    2.后台管理界面泄露(案例)
    3.测试数据未删除(案例)
    4.防范措施
    5.解决安全配置错误的安全开发方法
    11、敏感信息泄漏 1.敏感信息未加密传输、存储
    2.敏感信息在客户端泄露(内存、cookie、注释)
    3.防范措施
    4.解决敏感信息泄漏的安全开发方法

    12、使用含有已知漏洞的组件 1.使用含有已知漏洞的组件
    --案例:心脏出血漏洞、struts2远程执行漏洞、PHP CGI 远程执行漏洞
    2.防范措施
    3.解决含有已知漏洞的组件的安全开发方法
    14、越权 1.越权漏洞原理
    2.越权漏洞测试方法(案例,演示)
    --横向越权
    --水平越权
    3.防范措施
    4.解决不安全的URL跳转的安全开发方法

    15、业务逻辑漏洞 用户体系
    在线支付
    顺序执行
    oauth授权
    本地限制,抓包绕过
    解决业务逻辑漏洞的常用安全开发方法
       
    1665 次浏览  53 次
    其他人还看了课程
    安全防护架构与入侵检测  3139 次浏览
    网络规划与管理  2399 次浏览
    物联网原理与应用  6729 次浏览
    区块链安全技术实践指南  2237 次浏览
    麦洛克菲-系统安全漏洞  2933 次浏览
    功能安全管理体系(基于ISO26262)   3913 次浏览
    定制内训


    咨询服务:模型驱动的开发过程
    咨询目标 帮助建立模型驱动的分析、设计、开发,测试
    咨询范围 需求建模,架构建模,数据库建模,code建模,测试建模。
    建模工
    咨询方式 模型驱动的开发过程培训,建模与管理工具环境搭建,结合客户实际案例示范,团队实践指导,模型评价标准制定,规范制定
    成功案例 华为研究发展中心,中科院空间中心,南京14所,中国移动研究院等等。
    详情咨询:010-62670969, zhgx@uml.net.cn
    课程计划
    数据建模方法与工具 12-16[北京]
    基于模型系统仿真与验证 12-14 [讲座]
    白盒测试技术与工具实践 12-24[线上]
    LLM大模型应用与项目构建 12-26[特惠]
    UML和EA进行系统分析设计 12-20[线上]
    SysML建模专家 1-16[北京]