Web安全:SQL注入/XSS/CSRF防御与修复培训课程
-
-
培训对象: Web开发工程师、安全开发人员、应用安全工程师、代码审计人员。
-
-
培训目标:
-
-
培训内容介绍:
-
一、 SQL注入原理与类型: 理解联合查询注入、报错注入、布尔盲注、时间盲注的原理和利用方式。
二、 SQL注入防御-预编译: 使用参数化查询(PreparedStatement)和ORM框架防御SQL注入,避免拼接SQL语句。
三、 SQL注入防御-过滤与白名单: 对用户输入进行严格过滤,使用白名单机制限制输入格式,配置数据库最小权限。
四、 XSS跨站脚本原理: 理解反射型XSS、存储型XSS、DOM型XSS的区别和攻击原理。
五、 XSS防御-输出编码: 根据上下文进行输出编码(HTML编码、JavaScript编码、URL编码),使用模板引擎自动转义。
六、 XSS防御-CSP策略: 配置内容安全策略(CSP),限制脚本来源和未授权资源的加载。
七、 CSRF跨站请求伪造原理: 理解CSRF的攻击原理,利用受害者已认证身份发起恶意请求。
八、 CSRF防御-Token机制: 在表单中添加CSRF Token,验证请求的合法性,使用SameSite Cookie属性。
九、 CSRF防御-验证码与二次验证: 在敏感操作(支付、修改密码)中加入验证码或二次确认。
十、 安全配置与中间件加固: 配置Web服务器(Nginx、Apache)安全选项,禁用不安全HTTP方法,设置安全响应头。
十一、 代码审计实战: 使用静态分析工具(SonarQube、Fortify)扫描代码漏洞,人工审计修复建议。
十二、 实战项目:漏洞修复演练: 对有漏洞的Web应用进行代码审计和修复,验证修复后的安全性。
如果您想学习本课程,请
预约报名
如果没找到合适的课程或有特殊培训需求,请
订制培训
除培训外,同时提供相关技术咨询与技术支持服务,有需求请发需求表到邮箱soft@info-soft.cn,或致电4007991916
技术服务需求表点击在线申请
服务特点:
海量专家资源,精准匹配相关行业,相关项目专家,针对实际需求,顾问式咨询,互动式授课,案例教学,小班授课,实际项目演示,快捷高效,省时省力省钱。
专家力量:
中国科学院软件研究所,计算研究所高级研究人员
oracle,微软,vmware,MSC,Ansys,candence,Altium,达索等大型公司高级工程师,项目经理,技术支持专家
中科信软培训中心,资深专家或讲师
大多名牌大学,硕士以上学历,相关技术专业,理论素养丰富
多年实际项目经历,大型项目实战案例,热情,乐于技术分享
针对客户实际需求,案例教学,互动式沟通,学有所获
