求知 文章 文库 Lib 视频 iProcess 课程 认证 咨询 工具 讲座 Modeler   Code  
会员   
 
 
 
开班计划 | 技术学院 | 管理学院 | 嵌入式学院 | 电子&机械 | 军工学院 | 定向培养 | 专家指导  
 电话 English
成功案例   品质保证
 
   
成功案例
某支付企 单元测试与重构
中国平安 测试质量控制与管理
某军工研 自动化测试方法、案
邮政储蓄 Docker部署被
航天科工 软件测试架构师
知名消费 探索性测试与测试分
中交集团 构建Web自动化测

相关课程  
软件测试(TD+WR+LD)
测试过程与团队管理
LoadRunner进行性能测试
WEB应用的软件测试
手机软件测试
嵌入式白盒测试
 
全部课程 >软件测试  
WEB安全测试方法、工具与实践   
4724 次浏览  243 次
林鹏
曾任当当网安全经理,网信金融安全专家
 
时间地点: 北京 上海 深圳 根据报名开班
课程费用:5000元/人
企业内训:可以根据企业需求,定制内训,详见 内训学习手册



认证方式:
培训前了解能力模型。
培训后进行能力评测:
  • 在线考试
  • 能力分析,给出学习建议
  • 合格者颁发证书,作为职业技能资格证明


    建立web应用安全,已经成为web应用的最关键质量,而安全测试,是有效的问题预见方法。在本课程中,学员们通过现场观看安全漏洞攻击过程,了解安全漏洞的危害,并能够独立通过安全测试工具发现常见的WEB安全漏洞。并能够指导开发、或独立完成漏洞的修复。通过了解安全测试工具开发方法,可以实践符合自己环境要求的安全测试工具、平台。

    培训目标:

    本课程结合典型的安全危机事件实例,让学员全面了解安全相关的理论、技术和工具。包括:

    • 了解安全开发生命周期。
    • 了解安全测试的范围、目标。
    • 深入掌握常见的安全漏洞的测试方法
    • 掌握常见安全测试工具的使用方法
    • 通过掌握安全测试方法后,了解漏洞攻击监控思路。
    培训对象:Web站点和应用开发人员和测试人员 、维护人员
    学员基础:具有web安全一般了解
    授课方式: 定制课程 + 案例讲解 + 小组讨论,60%案例讲解,40%实践演练

    培训内容:2天

    安全大事件回顾与思考
    • 安全真实案例回顾与讨论
    • 安全都涉及什么
    • 如何来预防安全事故
    • 安全测试的目标和范围
    安全原理:威胁建模
    • 标识资源(敏感数据)
    • 创建总体体系结构
    • 分解应用程序标识特权代码
    • 识别威胁
    • 记录威胁
    • 评价威胁
    web安全需求分析
    • 列出网站资源:业务数据,应用程序,服务,配置数据,页面
    • 建立资源分布图,确定资源位置
    • 确定资源信任边界
    • 确定资源授权范围
    • 建立资源防范目录
    web应用漏洞及检测方法
    • 常见的操作系统漏洞和检查方法
    • 常见的数据库漏洞和检查方法
    • Web服务漏洞和检查方法
    • 网络通信漏洞和检查方法
    • 配置文件漏洞和检查方法
    • 其他资源漏洞和检查方法

    设计安全测试用例
    • 确定安全测试点
    • 预见可能的入侵事件
    • 分析入侵事件的触发条件,
    • 设计测试用例


    常见攻击工具
    • Mpack
    • Neosploit
    • ZeuS
    • Nukesploit P4ck
    • Phoenix
    常见安全检查工具
    • IBM Rational AppScan
    • WebInspect
    • NStalker-WAS
    • Acunetix Web Vulnerability Scanner
    网络威胁检测
    • 网络组件:路由器、防火墙和交换机
    • 信息收集
    • 探查
    • 欺骗
    • 会话劫持
    • 中间人攻击
    安全检测
    • 病毒、特洛伊木马和蠕虫
    • 信息收集
    • 破解密码
    • 拒绝服务
    • 任意执行代码
    • 未授权访问
    WEB应用常见威胁及其对策
    • 输入验证: 缓冲区溢出攻击
    • 跨站点脚本编写
    • SQL注入攻击
    • 标准化漏洞
    • 身份验证相关的威胁及其对策
    • 针对授权的威胁及其对策
    • 针对配置管理的威胁及对策
    • 安全的加密
    • 对抗针对操作
    • 异常处理
    进行安全审计
    • 使用日志跟踪安全相关事件
    • 将日志写入文件/数据库
    • 使用系统安全日志
     
    4724 次浏览  243 次
    其他人还看了课程
    性能测试、建模、分析与优化  1442 次浏览
    测试项目、团队与过程管理  1255 次浏览
    探索式的软件测试执行  993 次浏览
    IOS应用的测试方法、框架与工具  1774 次浏览
    WEB安全测试方法、工具与实践  4724 次浏览
    企业级全栈自动化测试技术最佳实践  1030 次浏览
    定制内训


    咨询服务:安全评测与体系建设
    咨询目标 帮助客户对当前系统进行安全评测
    帮助客户建立安全架构
    帮助客户建立安全管理体系。
    咨询范围 网站安全,信息安全,web应用安全,移动端安全,通信网络安全,数据库安全,应用服务安全。
    咨询方式 安全评测指标与体系建立,
    对当前系统进行安全评测
    安全架构设计
    安全管理体系建设
    成功案例 中国银行,亚信联创,某电商金融公司,当当网,万达电商
    详情咨询:010-62670969, zhgx@uml.net.cn

    最新活动计划
    基于SysML和EA系统设计与建模 2-22[在线]
    产品需求分析与管理 2-29[在线]
    企业架构师(TOGAF官方认证)3-7[在线]
    测试需求分析与测试用例设计 3-21[在线]
    云平台与微服务架构设计 3-26[上海]
    敏捷开发过程与项目管理 3-19 [成都]
    Web应用安全架构、入侵检测防护 4-9[深圳]
     2020年工程日历
     ArchiMate 3.1 图解