时 间

主 题

内  容

1上午

软件应用系统安全性

l 概括地介绍软件系统的安全性，包括网络、操作系统、应用程序、数据等安全性问题。

l 软件安全性需求（加密、安全存取、认证等）

l 弱点和漏洞的区分

l 信息安全问题

l 应用安全需要解决的问题

l 软件系统安全相关规范与标准

l 软件系统中哪些是最主要的安全性问题、危害最大的安全性问题？

1上午

Web基础知识

l web常用数据协议

l 网站常用的web技术简介如JavaScript、ActionScript、HTML/CSS、XSS等

l 知识点细化场景,综合的实操

1上午

软件安全性测试之基础

l 全面介绍软件安全性知识，包括安全方针、规则、攻击程序和历史风险等

l 软件安全性测试

l 密码学

1下午

软件安全性概念及其测试方法

l 安全性测试思想（联系性、破坏性、逆向性等）

l 软件安全性测试方法概述

l 静态测试与动态测试

l 渗透测试

l 如何进行渗透测试

l 软件安全测试方法研究

l 软件安全静态检测技术与工具介绍

1下午

静态安全性测试

l 首先从微观来看程序代码有哪些安全性问题，以及如何进行检验。

l 知识点细化场景,综合的实操

2上午

Web 安全性测试

l 常见的web安全漏洞的原理简介（如SQL注入、XSS、CSRF、URL跳转、点击劫持、远程命令执行、越权、跨站、文件上传漏洞等）

l 常见web漏洞的检测及解决方法

l Web 服务安全性

l Web 应用安全测试原理

l URL 重定向攻击

l 输入验证

l 浏览器安全问题

l Web软件安全漏洞分类方法

l 文件上传

l 基于SQL故障注入的安全测试方法

l 常见Web 安全测试辅助工具介绍

l 知识点细化场景,综合的实操

2下午

系统功能安全性验证

l 对于软件系统，无论是web 应用系统，还是传统的客户端系统，功能的安全性也是不可忽视的问题。

l 口令安全性

l 身份验证与授权

l 访问控制策略验证

l 操作日志检查

l 与安全相关的配置检查

l 安全性测试用例

l 系统的安全性测试总结

l 信息系统安全等级测评报告

l 知识点细化场景,综合的实操

3上午

数据安全性验证

l 系统功能安全只是一个方面，数据的安全是另一个不可忽视的方面。

l 数据加密和解密

l 数据的独立性

l 数据的完整性

l 数据备份和灾难恢复

l 知识点细化场景,综合的实操

3上午

安全测试工具

l 常用的安全工具简介及基础使用；

Rational AppScan实例使用;

Nmap工具简介;

Burpsuit工具简介;

Whatchweb工具简介;

Httprint工具简介;

Httpwatch工具简介;

sqlmap工具简介;

Awvs工具简介;

Fiddler工具简介;

wireshark工具简介.

3下午

实操练习

l 内存泄露测试

l Cookie安全测试

l CSS安全测试 

l SQL注入检测

l 从web，app分别举例来做实践操作分析

l 教大家如何从安全方面考虑设计测试用例场景；

l BigBulbs_安全性测试方案_v1.0-10

l Software_Security_Testing

l 多从实践出发讲一下实用性强又让人能听懂的课程内容，循序渐进。

3下午

未来软件安全性测试技术发展 

l 未来软件安全性测试技术的主要发展方向

l 提问与解答