|
|
|
全部课程 >安全 |
|
Web安全开发
|
1665 次浏览 53 次
|
|
|
时间地点:北京
、 上海、深圳 根据报名开班 |
课程费用:4500元/人 |
|
|
|
企业内训:可以根据企业需求,定制内训,详见
内训学习手册 |
|
|
认证方式:
培训前了解能力模型。
培训后进行能力评测: 在线考试
能力分析,给出学习建议
合格者颁发证书,作为职业技能资格证明 |
|
|
|
近年来,随着互联网的普及,web安全问题日益受到重视,本课程对Web安全进行全面的讲解,关注各种web安全漏洞,参照OWASP
top10,以及各大漏洞提交平台及SRC最常出现的漏洞进行归纳总结。每个主题按照漏洞原理、漏洞代码分析、测试方法及工具、漏洞防范措施、如何开发出安全的代码,五大详细内容分类来进行深入讲解。
整个课程包含了大量的实际项目案例,通过案例阐述在实际项目中的应用,让开发人员深入理解和学习每种漏洞的原理、测试、预防措施,开发出安全的程序,在开发阶段就杜绝产品的漏洞问题。
|
培训对象:渗透测试人员、Web开发人员、安全开发、安全咨询顾问 |
学员基础:有一定程序设计语言基础,对安全漏洞有一定基础概念
|
授课方式:
定制课程 + 案例讲解 + 小组讨论,60%案例讲解,40%实践演练 |
培训内容:2天
|
1、SQL注入漏洞 |
1.sql注入漏洞原理
2.sql注入漏洞测试方法(演示,案例)
--常见注入类型(字符、数字、搜索)
--盲注(boolian base&time base)
3.sql-map使用介绍(演示)
4.sql注入防范措施
5.解决SQL注入的安全开发方法
|
2、命令执行 |
1.系统命令注入漏洞原理
2.系统命令漏洞测试方法(演示,案例)
3.系统命令注入防范
4.解决系统命令注入的安全开发方法
|
3、代码注入 |
1.代码注入漏洞原理
2.代码注入漏洞测试方法(演示,案例)
--include()
--eval()
3.代码注入防范措施
4.解决代码注入的安全开发方法
|
4、文件上传漏洞 |
1.不安全的上传漏洞
--客户端验证问题
--服务端验证问题
(MIME type,getimagesize())
2.不安全的下载漏洞
3.防范措施
4.解决文件上传漏洞的安全开发方法
|
5、文件包含 |
1.
文件包含漏洞原理
2.代码注入漏洞测试方法(演示,案例)
--远程文件包含
--本地文件包含
3. 文件包含防范措施
4.解决文件包含的安全开发方法
|
6、跨站脚本攻击(XSS) |
1.跨站脚本漏洞原理
2.跨站脚本测试方法(演示、案例)
--反射性xss(get&post)
--存储型xss
--dom型xss
3.防范措施
4.解决XSS的安全开发方法
|
7、跨站请求伪造(CSRF) |
1.跨站请求伪造原理
2.跨站请求伪造测试方法(演示、案例)
--csrf (get)
--csrf(post)
3.防范措施
--token是如何防止csrf的
4.解决CSRF的安全开发方法
|
8、暴力破解 |
1.暴力破解攻击及漏洞原理
2.暴力破解漏洞测试方法(演示、案例)
3.burp-suite使用介绍(基于表单的暴力破解演示)
4.不安全的验证码(演示、案例)
5.防范措施
6.解决暴力破解的安全开发方法 |
9、不安全的会话管理
|
1.不安全的“会话超时”测试方法
2.不安全的“会话暴露”测试方法
3.会话固定漏洞测试方法(案例)
4.防范措施
5.解决不安全的会话管理的安全开发方法
|
10、安全配置错误
|
1.目录遍历(案例)
2.后台管理界面泄露(案例)
3.测试数据未删除(案例)
4.防范措施
5.解决安全配置错误的安全开发方法
|
11、敏感信息泄漏 |
1.敏感信息未加密传输、存储
2.敏感信息在客户端泄露(内存、cookie、注释)
3.防范措施
4.解决敏感信息泄漏的安全开发方法
|
12、使用含有已知漏洞的组件 |
1.使用含有已知漏洞的组件
--案例:心脏出血漏洞、struts2远程执行漏洞、PHP CGI 远程执行漏洞
2.防范措施
3.解决含有已知漏洞的组件的安全开发方法
|
14、越权 |
1.越权漏洞原理
2.越权漏洞测试方法(案例,演示)
--横向越权
--水平越权
3.防范措施
4.解决不安全的URL跳转的安全开发方法
|
15、业务逻辑漏洞 |
用户体系
在线支付
顺序执行
oauth授权
本地限制,抓包绕过
解决业务逻辑漏洞的常用安全开发方法
|
|
|
|
|
|
|
|
|
1665 次浏览 53 次
|
其他人还看了课程 |
|
|
|