WEB网站与应用安全原理培训
|
|
培训简介:
- Web网站的安全体系框架原理你了解么
- 如何规划资源,建立合理的安全防范层次
- Web网站的攻击手段有哪些
- 如何预先检查可能存在的网站漏洞
- 如何建立完整的web网站防护措施
- 如何监视并报告当前正在发生的攻击
- 当攻击发生的时候,如何进行内层防护web网站
- 如何建立web网站资源的安全配置
- 如何进行安全连接加密
- 如何防止SQL注入攻击
- 如何防止阻塞攻击
- 如何防止密码破译
- 如何防止木马程序的注入
- 如何建立
- 如何进行安全审计
- 如何培养人员安全意识
|
培训内容:
|
安全意识
|
安全相关案例解读
- 黑客组织:窃取Sun电子邮件 存储在中国境内
- SSL系统遭入侵发布虚假密钥
- RSA高管呼吁采用新的信息安全方法
- Oracle周二将发布批量补丁 影响数百款产品
- 微软高信度计算
案例讨论:2010 最突出的10项安全漏洞
|
安全原理:威胁建模
|
- 标识资源(敏感数据)
- 创建总体体系结构
- 分解应用程序标识特权代码
- 识别威胁
- 记录威胁
- 评价威胁
练习:对“网银”系统进行威胁建模
|
如何检查web应用漏洞
|
- 常见的操作系统漏洞和检查方法
- 常见的数据库漏洞和检查方法
- Web服务漏洞和检查方法
- 网络通信漏洞和检查方法
- 配置文件漏洞和检查方法
- 其他资源漏洞和检查方法
|
常见攻击工具
|
Mpack
Neosploit
ZeuS
Nukesploit P4ck
Phoenix
|
常见安全检查工具
|
IBM Rational AppScan
WebInspect
NStalker-WAS
Acunetix Web Vulnerability Scanner
练习:使用AppScan检查WEB应用安全漏洞
|
基础技能
|
加密解密
散列原理与算法
基于证书的签名与加密
访问权限列表(ACL)
安全协议:SSL,IPSec,Kerberos协议
|
网络威胁与对策
|
- 网络组件:路由器、防火墙和交换机
- 信息收集
- 探查
- 欺骗
- 会话劫持
- 中间人攻击
练习:使用网络探测器
|
主机威胁与对策
|
- 病毒、特洛伊木马和蠕虫
- 信息收集
- 破解密码
- 拒绝服务
- 任意执行代码
- 未授权访问
讨论:红色代码病毒及其危害
|
WEB应用常见威胁及其对策
|
- 输入验证: 缓冲区溢出攻击
- 跨站点脚本编写
- SQL注入攻击
- 标准化漏洞
- 身份验证相关的威胁及其对策
- 针对授权的威胁及其对策
- 针对配置管理的威胁及对策
- 安全的加密
- 对抗针对操作查询字符串 的威胁
- 异常处理
练习:针对“网银系统”漏洞发起相关攻击
|
进行安全审计
|
使用日志跟踪安全相关事件
将日志写入文件/数据库
使用系统安全日志
|
做好开发层次安全
|
代码访问安全
用户验证
输入检查
应用安全规则进行静态代码安全隐患分析
线程安全
针对URL授权
序列化/反序列化安全
代码混淆
练习:1)使用代码混淆器2)针对“网银系统”漏洞继续发起攻击;3)应用安全规则自查
|
培养安全意识
|
建立安全管理和开发、维护规范
及时发现安全事件
按照合理的流程处理安全问题
把安全降低到最小影响
|
|
如果您想学习本课程,请
预约报名
如果没找到合适的课程或有特殊培训需求,请
订制培训
除培训外,同时提供相关技术咨询与技术支持服务,有需求请发需求表到邮箱soft@info-soft.cn,或致电4007991916
技术服务需求表点击在线申请
服务特点:
海量专家资源,精准匹配相关行业,相关项目专家,针对实际需求,顾问式咨询,互动式授课,案例教学,小班授课,实际项目演示,快捷高效,省时省力省钱。
专家力量:
中国科学院软件研究所,计算研究所高级研究人员
oracle,微软,vmware,MSC,Ansys,candence,Altium,达索等大型公司高级工程师,项目经理,技术支持专家
中科信软培训中心,资深专家或讲师
大多名牌大学,硕士以上学历,相关技术专业,理论素养丰富
多年实际项目经历,大型项目实战案例,热情,乐于技术分享
针对客户实际需求,案例教学,互动式沟通,学有所获