代码审计工程师(高级)培训课程
培训对象: 从事软件设计和开发、软件内部测试、软件第三方独立测试的技术人员和管理人员,以及有实验室认可需求的实验室、软件研发单位的内部测试机构人员。
培训目标: 培养具备高级威胁建模与攻击面分析能力的代码审计专家,能够从源头上发现和解决系统运行可能存在的各种安全问题。掌握源代码深度阅读、数据流分析、控制流分析及设计层面漏洞挖掘的核心技能,具备带领团队系统性发现和解决安全问题的能力。
培训内容介绍:
-
高级威胁建模与攻击面分析:学习基于数据流的威胁建模(STRIDE、DREAD),识别微服务、API、移动端、云原生环境下的新型攻击面,掌握供应链攻击分析(第三方库、依赖组件、Docker镜像)的审计方法。
-
源代码深度阅读与理解技巧:掌握快速理解大型项目架构的技巧(从入口点、配置文件、依赖注入入手),学习关键代码路径追踪、数据流分析(正向/反向)及控制流分析与程序逻辑还原。
-
设计层面漏洞挖掘:学习权限绕过与访问控制设计缺陷分析、业务逻辑漏洞的模式识别(平行越权、条件竞争、负库存)、加密机制的错误实现与弱随机数检测。
-
安全开发生命周期(SDL)与CI/CD集成:了解安全开发生命周期定义与目标,掌握持续集成/持续发布与代码审计的结合方法,搭建Jenkins流水线实现提交代码时自动进行SCA扫描和SAST扫描。
-
第三方测试中的代码审计流程:学习第三方代码审计实施过程、团队流程管理、能力建设及风险控制方法。
-
代码审计方法与工具:掌握人工审查结合工具扫描的审计方式,了解常用SAST工具、开源漏洞测试工具及基于形式化代码语义分析、基于大模型的代码审计前沿方向。
-
C/C++常见漏洞专项审计:结合工具讲解字符串漏洞、缓冲区溢出、数据类型转换漏洞、整数操作漏洞、格式化输出漏洞的审计方法。
-
Java-Web漏洞专项审计:结合工具讲解反射性XSS、存储型XSS、验证码绕过、API未授权访问、越权漏洞、目录遍历漏洞、文件上传漏洞、命令执行漏洞的审计方法。
-
反序列化漏洞深度剖析:学习Java序列化机制与常见组件风险,审计常用库(apache-common、Fastjson、log4j)的潜在风险,实战分析CVE-2021-44228 log4j反序列化漏洞。
-
系统架构与第三方组件审计:学习Spring Security/Shibboleth OAuth2配置审计、RESTful API的批量分配与越权审计,实战分析shiro CVE-2016-4437、Spring Data Commons CVE-2018-1273。
-
代码逆向分析与安全保护:学习编译、反编译、反汇编概念,掌握动态调试技术、静态反编译与代码还原方法,了解代码加固技术(字符串加密、控制流混淆)及软件许可证保护。
-
代码审计标准与规范:学习OWASP代码审计规范、开发规范及GB/T 34943、GB/T 39412等国家标准,建立自定义代码审计规范体系。
如果您想学习本课程,请
预约报名
如果没找到合适的课程或有特殊培训需求,请
订制培训
除培训外,同时提供相关技术咨询与技术支持服务,有需求请发需求表到邮箱soft@info-soft.cn,或致电4007991916
技术服务需求表点击在线申请
服务特点:
海量专家资源,精准匹配相关行业,相关项目专家,针对实际需求,顾问式咨询,互动式授课,案例教学,小班授课,实际项目演示,快捷高效,省时省力省钱。
专家力量:
中国科学院软件研究所,计算研究所高级研究人员
oracle,微软,vmware,MSC,Ansys,candence,Altium,达索等大型公司高级工程师,项目经理,技术支持专家
中科信软培训中心,资深专家或讲师
大多名牌大学,硕士以上学历,相关技术专业,理论素养丰富
多年实际项目经历,大型项目实战案例,热情,乐于技术分享
针对客户实际需求,案例教学,互动式沟通,学有所获
