求知 文章 文库 Lib 视频 iProcess 课程 认证 咨询 工具 讲座 Modeler   Code  
会员   
 
 
 
开班计划 | 技术学院 | 管理学院 | 嵌入式学院 | 电子&机械 | 军工学院 | 专家指导  
 电话 English
成功案例   品质保证
 
   
成功案例
中航工业 嵌入式软件开发指南
某轨道交 嵌入式软件高级设计
英特尔 代码整洁与嵌入式C
某安保系 嵌入式Linux基
国内某知 嵌入式软件可靠性设
中国航空 嵌入式C高质量编程
中国移动 网络规划与管理

相关课程  
UML +RoseRealtime+嵌入式
C++嵌入式系统开发
嵌入式白盒测试
手机软件测试
嵌入式软件测试
嵌入式操作系统VxWorks
 
全部课程 >软件测试  
安全测试最佳实践   
282 次浏览  26 次
王楷
现任职百度质量部无线高级测试负责人
时间地点:北京 上海 深圳 根据报名开班
课程费用:5000元/人
企业内训:可以根据企业需求,定制内训,详见 内训学习手册



认证方式:
培训前了解能力模型。
培训后进行能力评测:
  • 在线考试
  • 能力分析,给出学习建议
  • 合格者颁发证书,作为职业技能资格证明


    通过2天课程介绍安全通用测试解决方案。重点剖析安全理论知识、安全工具使用和原理、代码注入、病毒入侵。并且在代码层面如何预防安全漏洞,如何利用乌云平台进行漏洞预知。并且大量例子介绍手机、web页面安全案例(手机银行支付类安全、账号系统app、web页面相关项目)

    培训目标:
    • 使学员快速掌握企业安全测试流程
    • BAT(百度、阿里、腾讯)通用安全测试方案
    • 安全测试风险评估
    • 安全基础理论知识
    • 安全工具使用(抓包三剑客)
    • 安全漏洞分析
    • 手机安全产品分析
    • 安全平台解析
    • 移动安全app测试选择
    培训对象:高级测试工程师,功能测试工程师(银行支付类),安全测试工程师
    学员基础:
    学习本课程应具备下列基础知识:
          1、 熟悉Mercury, Drozer注入工具
          2、 熟悉linux命令和数据库命令
          3、 熟悉一门脚本语言js脚本尤佳
          4、 熟悉通用测试抓包工具工具:fiddler、wshark、
          5、 测试领域三年以上工作经验
    授课方式: 定制课程 + 案例讲解 + 小组讨论,60%案例讲解,40%实践演练

    培训内容:2天

    引子 从几个重大安全事故说起:iPhone-iCloud明星们相片泄露、支付宝用户隐私泄露门、携程网数据库被删除事件等讲到安全对企业重要性。我们应该掌握哪些安全知识,去那方面预防?
    安全测试课程介绍:
    1、介绍安全测试原理
    2、解决实际工作问题
    3、篡改数据
    4、工具抓包分析
    5、专题讲解业务产品结构
    6、分析安全测试找到bug
    第一节 介绍安全测试原理和工具介绍 1、安全测试入门理论
    2、安全测试和传统系统黑盒测试不同点
    3、安全测试必备人员能力
    4、常见数据传输格式类型讲解
    5、安全工具抓包三剑客重点介绍(fiddler、charles、Wshark)
    6、抓包分析http格式
    7、不同数据格式获取(Json、Pcap、Pb格式等)
    8、业务场景介绍
    9、黑客常见入侵方式?
    第二节 结合业务讲解端安全组件漏洞分析 安全测试不可能测试百分百完全,就像一定会有漏测一样。
    1、 核心安全测试用例设计
    2、 用xmind等脑图节约时间画(别用word浪费有限时间)
    3、 安全测试报告撰写
    4、 组件安全全面分析
    A、 ssl证书安全
    B、 远程代码执行漏洞
    C、 系统隐藏接口漏洞
    D、 黑客抓包篡改数据漏洞
    学员设计
    老师给一个带账号娱乐类软件(爱奇艺、土豆带登录vip账号登录软件,还有私有云空间信息的软件)
    给出黑客攻击范围,域名劫持、vip账号数据库获取、获取用户基本信息,观看视频列表等等。让学生设计安全测试用例(30分钟) 老师点评!
    但是怎么样花80%时间就测试好最核心功能。核心安全功能测试用例特别关键支付类产品形态和漏洞
    第三节 通信加密漏洞分析 如何做账号登录安全测试
    如何查看代码用业界安全的模式-保护用户设置密码的算法
    1、 弱加密剖析
    2、 RSA算法和DES加密
    3、 https通信重要性
    4、 post和get请求分析
    5、 密钥长度分析
    6、 随机数安全
    7、 安全文档
    8、 老师总结:
    A 用什么加密算法
    B 防止暴利破解
    C、协议选取
    第四节 App移动业务安全漏洞分析 业务安全全面分析
    组件安全
    数据库安全
    webVIew安全分析
    全局剪切板泄露
    协议安全
    登录安全
    头文件安全
    代码混淆
    模拟黑客各种类型攻击和代码注入来技术层面分析各种安全漏洞
    1、 数据库注入各种类型和代码如何预防
    2、 WebView里面允许JS脚本远程注入入侵代码怎么样预防?
    3、 动态加载文件入侵预防
    4、 全局变量导入DB注入篡改数据库信息
    5、 登录暴利破解和不安全加密模式具体分析
    6、 数据完整性,数据破坏
    例子.
    老师举一个安全事故例子,支付类软件调用银行接口,出现某种异常,导致账号没钱也可以交易现象。设计测试用例(20分钟)
    老师点评。
    第五节 各种安全经典案例全面分析 1、账号系统常见安全问题
    2、业务渠道类支付安全漏洞
    3、web网页交易漏洞全面分析
    案例1- webVIew入侵
    案例2- 支付业务篡改
    案例3- 代码注入
     
    282 次浏览  26 次
    其他人还看了课程
    咨询式培训:集成测试  1071 次浏览
    精准测试方法、工具和实践  348 次浏览
    使用python与selenium进行web自动化测试  3409 次浏览
    性能测试、建模、分析与优化  1357 次浏览
    金融类测试技能培训  1072 次浏览
    需求驱动的验收测试  403 次浏览
    定制内训


    咨询服务:全流程测试工作平台与工具链
    咨询目标
    帮助开发测试团队建立从代码到组件,再到系统的全是流程测试工作平台与工具
    咨询范围 代码检查、单元测试、集成测试、功能测试、性能测试
    咨询方式 培训、客户一线项目咨询、工具打包交付
    详情咨询:010-62670969, zhgx@uml.net.cn

    最新活动计划
    基于Kubernetes的DevOps实践 10-22[北京]
    需求分析管理 11-5[北京]
    软件开发过程中的质量管理实践 11-16[北京]
    人工智能,机器学习和深度学习 11-26 [北京]
    业务架构到IT架构(TOGAF9.2认证)11-28[北京]
    企业级全栈自动化测试技术 10-16 [上海]
    大数据平台架构与应用实战 11-8[上海]
    Python及数据分析 11-25 [深圳]
     讲座 数据治理
     讲师:王辉
     时间:2019-10-19
     
    某军工研究单位  嵌入式软件架构
    某银行  人工智能+Python+大数据
    中国机械集团某研究院   基于模型的系统工程(MBSE)
    航天科工某子公司  C++中级开发实战(SOUI)
    中航工业某研究所  嵌入式软件开发指南
     
     
     

     
    每天2个文档/视频
    扫描微信二维码订阅
    订阅技术月刊
    获得每月300个技术资源
     
    希望我们的资料可以帮助你学习,也欢迎投稿&提建议给我
    频道编辑:sky
    邮       件:sky@uml.net.cn

    关于我们 | 联系我们 | 京ICP备10020922号 京公海网安备110108001071号