求知 文章 文库 Lib 视频 Code iProcess 课程 角色 咨询 工具 火云堂 讲座吧   成长之路  
会员   
 
 
 
开班计划 | 技术学院 | 管理学院 | 嵌入式学院 | 电子&机械 | 在线学院  
成功案例   品质保证  电话 English
追随技术信仰

随时听讲座
每天看新闻
 
   
成功案例
航天科工 软件测试架构师
知名消费 探索性测试与测试分
中交集团 构建Web自动化测
中国邮储 测试成熟度模型集成
航天科工 国家软件评测师认证
上海 使用Python与
中国民航 自动化测试方法、案

相关课程  
软件测试(TD+WR+LD)
测试过程与团队管理
LoadRunner进行性能测试
WEB应用的软件测试
手机软件测试
嵌入式白盒测试
 
全部课程 >软件测试  
WEB安全测试方法、工具与实践   
4417 次浏览  234 次
Allen
曾任阿里巴巴安全测试高级工程师,具有多年专业的安全测试经验
 
时间地点: 北京 上海 深圳 根据报名开班
课程费用:5000元/人
企业内训:可以根据企业需求,定制内训,详见 内训学习手册



认证方式:
培训前了解能力模型。
培训后进行能力评测:
  • 在线考试
  • 能力分析,给出学习建议
  • 合格者颁发证书,作为职业技能资格证明


    建立web应用安全,已经成为web应用的最关键质量,而安全测试,是有效的问题预见方法。在本课程中,学员们通过现场观看安全漏洞攻击过程,了解安全漏洞的危害,并能够独立通过安全测试工具发现常见的WEB安全漏洞。并能够指导开发、或独立完成漏洞的修复。通过了解安全测试工具开发方法,可以实践符合自己环境要求的安全测试工具、平台。

    培训目标:

    本课程结合典型的安全危机事件实例,让学员全面了解安全相关的理论、技术和工具。包括:

    • 了解安全开发生命周期。
    • 了解安全测试的范围、目标。
    • 深入掌握常见的安全漏洞的测试方法
    • 掌握常见安全测试工具的使用方法
    • 通过掌握安全测试方法后,了解漏洞攻击监控思路。
    培训对象:Web站点和应用开发人员和测试人员 、维护人员
    学员基础:具有web安全一般了解
    授课方式: 定制课程 + 案例讲解 + 小组讨论,60%案例讲解,40%实践演练

    培训内容:2天

    安全大事件回顾与思考
    • 安全真实案例回顾与讨论
    • 安全都涉及什么
    • 如何来预防安全事故
    • 安全测试的目标和范围
    安全原理:威胁建模
    • 标识资源(敏感数据)
    • 创建总体体系结构
    • 分解应用程序标识特权代码
    • 识别威胁
    • 记录威胁
    • 评价威胁
    web安全需求分析
    • 列出网站资源:业务数据,应用程序,服务,配置数据,页面
    • 建立资源分布图,确定资源位置
    • 确定资源信任边界
    • 确定资源授权范围
    • 建立资源防范目录
    web应用漏洞及检测方法
    • 常见的操作系统漏洞和检查方法
    • 常见的数据库漏洞和检查方法
    • Web服务漏洞和检查方法
    • 网络通信漏洞和检查方法
    • 配置文件漏洞和检查方法
    • 其他资源漏洞和检查方法

    设计安全测试用例
    • 确定安全测试点
    • 预见可能的入侵事件
    • 分析入侵事件的触发条件,
    • 设计测试用例


    常见攻击工具
    • Mpack
    • Neosploit
    • ZeuS
    • Nukesploit P4ck
    • Phoenix
    常见安全检查工具
    • IBM Rational AppScan
    • WebInspect
    • NStalker-WAS
    • Acunetix Web Vulnerability Scanner
    网络威胁检测
    • 网络组件:路由器、防火墙和交换机
    • 信息收集
    • 探查
    • 欺骗
    • 会话劫持
    • 中间人攻击
    安全检测
    • 病毒、特洛伊木马和蠕虫
    • 信息收集
    • 破解密码
    • 拒绝服务
    • 任意执行代码
    • 未授权访问
    WEB应用常见威胁及其对策
    • 输入验证: 缓冲区溢出攻击
    • 跨站点脚本编写
    • SQL注入攻击
    • 标准化漏洞
    • 身份验证相关的威胁及其对策
    • 针对授权的威胁及其对策
    • 针对配置管理的威胁及对策
    • 安全的加密
    • 对抗针对操作
    • 异常处理
    进行安全审计
    • 使用日志跟踪安全相关事件
    • 将日志写入文件/数据库
    • 使用系统安全日志
     
    4417 次浏览  234 次
    其他人还看了课程
    硬件测试方法、技术与案例  889 次浏览
    Android 应用全面剖析高质量测试实践  729 次浏览
    测试项目、团队与过程管理  1086 次浏览
    国际软件测试工程师ISTQB认证培训(基础级)  962 次浏览
    IOS应用的测试方法、框架与工具  1539 次浏览
    分层自动化测试精要  723 次浏览
    定制内训


    咨询服务:安全评测与体系建设
    咨询目标 帮助客户对当前系统进行安全评测
    帮助客户建立安全架构
    帮助客户建立安全管理体系。
    咨询范围 网站安全,信息安全,web应用安全,移动端安全,通信网络安全,数据库安全,应用服务安全。
    咨询方式 安全评测指标与体系建立,
    对当前系统进行安全评测
    安全架构设计
    安全管理体系建设
    成功案例 中国银行,亚信联创,某电商金融公司,当当网,万达电商
    详情咨询:010-62670969, zhgx@uml.net.cn

    最新活动计划
    [北京]需求分析管理 3-21
    [北京]大数据分析与管理 3-28
    [北京]Android开发技术进阶 3-26
    [北京]ios开发技术深入研究 4-9
    [北京]软件架构设计方法案例与实践 4-10
    [上海]人工智能机器学习和深度学习 3-22
    [上海]产品需求分析与管理 3-30
    [深圳]敏捷开发过程与项目管理 5-23
     讲座 高效配置管理
     讲师:彭金晓
     时间:2019-3-30
     
     讲座 设计模式C语言
     讲师:薛卫国
     时间:2019-4-20
     
    中国移动  人工智能、机器学习和深度学习
    知名财险公司  Oracle数据库性能调优
    航天科工某子公司  软件测试架构师
    英特尔  代码整洁与嵌入式C高质量编程
    知名消费金融公司  探索性测试与测试分析
     
     
     

     
    每天2个文档/视频
    扫描微信二维码订阅
    订阅技术月刊
    获得每月300个技术资源
     
    希望我们的资料可以帮助你学习,也欢迎投稿&提建议给我
    频道编辑:sky
    邮       件:sky@uml.net.cn

    关于我们 | 联系我们 | 京ICP备10020922号 京公海网安备110108001071号