求知 文章 文库 Lib 视频 iProcess 课程 认证 咨询 工具 讲座 Modeler   Code  
会员   
 
 
 
开班计划 | 技术学院 | 管理学院 | 嵌入式学院 | 电子&机械 | 军工学院 | 专家指导  
 电话 English
成功案例   品质保证
 
   
成功案例
某军工研 自动化测试方法、案
邮政储蓄 Docker部署被
航天科工 软件测试架构师
知名消费 探索性测试与测试分
中交集团 构建Web自动化测
中国邮储 测试成熟度模型集成
航天科工 国家软件评测师认证

相关课程  
软件测试(TD+WR+LD)
测试过程与团队管理
LoadRunner进行性能测试
WEB应用的软件测试
手机软件测试
嵌入式白盒测试
 
全部课程 >软件测试  
WEB安全测试方法、工具与实践   
4632 次浏览  240 次
林鹏
曾任当当网安全经理,网信金融安全专家
 
时间地点: 北京 上海 深圳 根据报名开班
课程费用:5000元/人
企业内训:可以根据企业需求,定制内训,详见 内训学习手册



认证方式:
培训前了解能力模型。
培训后进行能力评测:
  • 在线考试
  • 能力分析,给出学习建议
  • 合格者颁发证书,作为职业技能资格证明


    建立web应用安全,已经成为web应用的最关键质量,而安全测试,是有效的问题预见方法。在本课程中,学员们通过现场观看安全漏洞攻击过程,了解安全漏洞的危害,并能够独立通过安全测试工具发现常见的WEB安全漏洞。并能够指导开发、或独立完成漏洞的修复。通过了解安全测试工具开发方法,可以实践符合自己环境要求的安全测试工具、平台。

    培训目标:

    本课程结合典型的安全危机事件实例,让学员全面了解安全相关的理论、技术和工具。包括:

    • 了解安全开发生命周期。
    • 了解安全测试的范围、目标。
    • 深入掌握常见的安全漏洞的测试方法
    • 掌握常见安全测试工具的使用方法
    • 通过掌握安全测试方法后,了解漏洞攻击监控思路。
    培训对象:Web站点和应用开发人员和测试人员 、维护人员
    学员基础:具有web安全一般了解
    授课方式: 定制课程 + 案例讲解 + 小组讨论,60%案例讲解,40%实践演练

    培训内容:2天

    安全大事件回顾与思考
    • 安全真实案例回顾与讨论
    • 安全都涉及什么
    • 如何来预防安全事故
    • 安全测试的目标和范围
    安全原理:威胁建模
    • 标识资源(敏感数据)
    • 创建总体体系结构
    • 分解应用程序标识特权代码
    • 识别威胁
    • 记录威胁
    • 评价威胁
    web安全需求分析
    • 列出网站资源:业务数据,应用程序,服务,配置数据,页面
    • 建立资源分布图,确定资源位置
    • 确定资源信任边界
    • 确定资源授权范围
    • 建立资源防范目录
    web应用漏洞及检测方法
    • 常见的操作系统漏洞和检查方法
    • 常见的数据库漏洞和检查方法
    • Web服务漏洞和检查方法
    • 网络通信漏洞和检查方法
    • 配置文件漏洞和检查方法
    • 其他资源漏洞和检查方法

    设计安全测试用例
    • 确定安全测试点
    • 预见可能的入侵事件
    • 分析入侵事件的触发条件,
    • 设计测试用例


    常见攻击工具
    • Mpack
    • Neosploit
    • ZeuS
    • Nukesploit P4ck
    • Phoenix
    常见安全检查工具
    • IBM Rational AppScan
    • WebInspect
    • NStalker-WAS
    • Acunetix Web Vulnerability Scanner
    网络威胁检测
    • 网络组件:路由器、防火墙和交换机
    • 信息收集
    • 探查
    • 欺骗
    • 会话劫持
    • 中间人攻击
    安全检测
    • 病毒、特洛伊木马和蠕虫
    • 信息收集
    • 破解密码
    • 拒绝服务
    • 任意执行代码
    • 未授权访问
    WEB应用常见威胁及其对策
    • 输入验证: 缓冲区溢出攻击
    • 跨站点脚本编写
    • SQL注入攻击
    • 标准化漏洞
    • 身份验证相关的威胁及其对策
    • 针对授权的威胁及其对策
    • 针对配置管理的威胁及对策
    • 安全的加密
    • 对抗针对操作
    • 异常处理
    进行安全审计
    • 使用日志跟踪安全相关事件
    • 将日志写入文件/数据库
    • 使用系统安全日志
     
    4632 次浏览  240 次
    其他人还看了课程
    测试项目、团队与过程管理  1198 次浏览
    探索式的软件测试执行  907 次浏览
    WEB安全测试方法、工具与实践  4632 次浏览
    IOS应用的测试方法、框架与工具  1696 次浏览
    企业级全栈自动化测试技术最佳实践  626 次浏览
    安全测试最佳实践  286 次浏览
    定制内训


    咨询服务:安全评测与体系建设
    咨询目标 帮助客户对当前系统进行安全评测
    帮助客户建立安全架构
    帮助客户建立安全管理体系。
    咨询范围 网站安全,信息安全,web应用安全,移动端安全,通信网络安全,数据库安全,应用服务安全。
    咨询方式 安全评测指标与体系建立,
    对当前系统进行安全评测
    安全架构设计
    安全管理体系建设
    成功案例 中国银行,亚信联创,某电商金融公司,当当网,万达电商
    详情咨询:010-62670969, zhgx@uml.net.cn

    最新活动计划
    基于Kubernetes的DevOps实践 10-22[北京]
    需求分析管理 11-5[北京]
    软件开发过程中的质量管理实践 11-16[北京]
    人工智能,机器学习和深度学习 11-26 [北京]
    业务架构到IT架构(TOGAF9.2认证)11-28[北京]
    企业级全栈自动化测试技术 10-16 [上海]
    大数据平台架构与应用实战 11-8[上海]
    Python及数据分析 11-25 [深圳]
    某军工研究单位  嵌入式软件架构
    某银行  人工智能+Python+大数据
    中国机械集团某研究院   基于模型的系统工程(MBSE)
    航天科工某子公司  C++中级开发实战(SOUI)
    中航工业某研究所  嵌入式软件开发指南
     
     
     

     
    每天2个文档/视频
    扫描微信二维码订阅
    订阅技术月刊
    获得每月300个技术资源
     
    希望我们的资料可以帮助你学习,也欢迎投稿&提建议给我
    频道编辑:sky
    邮       件:sky@uml.net.cn

    关于我们 | 联系我们 | 京ICP备10020922号 京公海网安备110108001071号