求知 文章 文库 Lib 视频 iPerson 课程 认证 咨询 工具 讲座 Model Center   Code  
会员   
 
 
 
开班计划 | 技术学院 | 管理学院 | 嵌入式学院 | 机械 | 军工学院 | 定向培养 | 专家指导  
 电话 English
成功案例   品质保证
 
   
成功案例
某轨道交 性能测试方法与技术
某银行 信用卡业务测试实践
某半导体 测试用例分析与设计
某银行 基于业务场景的测试
某高性能 构建有效的测试工作
某大型通 NSB—UI自动化
某轨道交 高级性能测试

相关课程  
软件测试(TD+WR+LD)
测试过程与团队管理
LoadRunner进行性能测试
WEB应用的软件测试
手机软件测试
嵌入式白盒测试
 

全部课程 >软件测试  
WEB安全测试方法、工具与实践   
7038 次浏览  51 次
林鹏
曾任当当网安全经理,网信金融安全专家
 
时间地点: 北京 上海 深圳 根据报名开班
课程费用:5000元/人
企业内训:可以根据企业需求,定制内训,详见 内训学习手册



认证方式:
培训前了解能力模型。
培训后进行能力评测:
  • 在线考试
  • 能力分析,给出学习建议
  • 合格者颁发证书,作为职业技能资格证明


    建立web应用安全,已经成为web应用的最关键质量,而安全测试,是有效的问题预见方法。在本课程中,学员们通过现场观看安全漏洞攻击过程,了解安全漏洞的危害,并能够独立通过安全测试工具发现常见的WEB安全漏洞。并能够指导开发、或独立完成漏洞的修复。通过了解安全测试工具开发方法,可以实践符合自己环境要求的安全测试工具、平台。

    培训目标:

    本课程结合典型的安全危机事件实例,让学员全面了解安全相关的理论、技术和工具。包括:

    • 了解安全开发生命周期。
    • 了解安全测试的范围、目标。
    • 深入掌握常见的安全漏洞的测试方法
    • 掌握常见安全测试工具的使用方法
    • 通过掌握安全测试方法后,了解漏洞攻击监控思路。
    培训对象:Web站点和应用开发人员和测试人员 、维护人员
    学员基础:具有web安全一般了解
    授课方式: 定制课程 + 案例讲解 + 小组讨论,60%案例讲解,40%实践演练

    培训内容:2天

    安全大事件回顾与思考
    • 安全真实案例回顾与讨论
    • 安全都涉及什么
    • 如何来预防安全事故
    • 安全测试的目标和范围
    安全原理:威胁建模
    • 标识资源(敏感数据)
    • 创建总体体系结构
    • 分解应用程序标识特权代码
    • 识别威胁
    • 记录威胁
    • 评价威胁
    web安全需求分析
    • 列出网站资源:业务数据,应用程序,服务,配置数据,页面
    • 建立资源分布图,确定资源位置
    • 确定资源信任边界
    • 确定资源授权范围
    • 建立资源防范目录
    web应用漏洞及检测方法
    • 常见的操作系统漏洞和检查方法
    • 常见的数据库漏洞和检查方法
    • Web服务漏洞和检查方法
    • 网络通信漏洞和检查方法
    • 配置文件漏洞和检查方法
    • 其他资源漏洞和检查方法

    设计安全测试用例
    • 确定安全测试点
    • 预见可能的入侵事件
    • 分析入侵事件的触发条件,
    • 设计测试用例


    常见攻击工具
    • Mpack
    • Neosploit
    • ZeuS
    • Nukesploit P4ck
    • Phoenix
    常见安全检查工具
    • IBM Rational AppScan
    • WebInspect
    • NStalker-WAS
    • Acunetix Web Vulnerability Scanner
    网络威胁检测
    • 网络组件:路由器、防火墙和交换机
    • 信息收集
    • 探查
    • 欺骗
    • 会话劫持
    • 中间人攻击
    安全检测
    • 病毒、特洛伊木马和蠕虫
    • 信息收集
    • 破解密码
    • 拒绝服务
    • 任意执行代码
    • 未授权访问
    WEB应用常见威胁及其对策
    • 输入验证: 缓冲区溢出攻击
    • 跨站点脚本编写
    • SQL注入攻击
    • 标准化漏洞
    • 身份验证相关的威胁及其对策
    • 针对授权的威胁及其对策
    • 针对配置管理的威胁及对策
    • 安全的加密
    • 对抗针对操作
    • 异常处理
    进行安全审计
    • 使用日志跟踪安全相关事件
    • 将日志写入文件/数据库
    • 使用系统安全日志
     
    7038 次浏览  51 次
    其他人还看了课程
    基于Android的单元、性能测试、持续集成和测试驱动开发  4821 次浏览
    需求驱动的验收测试  2023 次浏览
    基于开源工具的web测试  3235 次浏览
    iOS应用的自动化测试方法与工具  1824 次浏览
    性能测试专家班开班啦!  2903 次浏览
    业务视角的测试分析与设计  5838 次浏览
    定制内训


    咨询服务:安全评测与体系建设
    咨询目标 帮助客户对当前系统进行安全评测
    帮助客户建立安全架构
    帮助客户建立安全管理体系。
    咨询范围 网站安全,信息安全,web应用安全,移动端安全,通信网络安全,数据库安全,应用服务安全。
    咨询方式 安全评测指标与体系建立,
    对当前系统进行安全评测
    安全架构设计
    安全管理体系建设
    成功案例 中国银行,亚信联创,某电商金融公司,当当网,万达电商
    详情咨询:010-62670969, zhgx@uml.net.cn
    课程计划
    QT应用开发 11-21[线上]
    C++高级编程 11-27[北京]
    LLM大模型应用与项目构建 12-26[特惠]
    UML和EA进行系统分析设计 12-20[线上]
    数据建模方法与工具 12-3[北京]
    SysML建模专家 1-16[北京]