代码安全审计实践培训课程
培训对象: 面向软件开发工程师、网络安全工程师、渗透测试人员及第三方测试机构技术人员。也适合需要从源头上减少系统安全隐患、建立安全开发流程的研发团队。
培训目标: 系统掌握代码审计的核心理论与实战方法,具备识别SQL注入、XSS、反序列化漏洞等常见安全缺陷的能力。能够运用自动化工具与人工审查相结合的方式,在CI/CD流水线中集成安全审计,提升软件整体安全质量。
培训内容介绍:
-
代码审计核心理论与方法论:学习代码审计的基本思想、对象、目的、原则及要素,掌握基于数据流的威胁建模(STRIDE/DREAD)方法。
-
源代码深度阅读与理解技巧:掌握快速理解大型项目架构的技巧(从入口点、配置文件、依赖注入入手),学习关键代码路径追踪、数据流分析与控制流分析方法。
-
安全开发生命周期(SDL):了解安全开发生命周期定义与目标,将安全开发理论结合到需求分析、设计、开发编码、测试、发布、运维等各阶段。
-
CI/CD与代码审计集成:搭建Jenkins流水线实现提交代码时自动进行SCA扫描和SAST扫描,将安全测试工具与DevOps工具链结合,减少人工干预成本。
-
代码审计方法与工具:掌握人工审查结合工具扫描的审计方式,了解常用SAST工具、开源漏洞测试工具的使用,探索基于大模型的代码审计前沿方向。
-
SQL注入漏洞审计:学习执行SQL语句的几种方式,掌握常规注入与二次注入的代码审计方法,学习SQL注入漏洞的修复策略。
-
XSS与文件上传漏洞审计:掌握反射型XSS、存储型XSS的审计技巧,学习任意文件上传漏洞的成因、审计方法与修复方案。
-
命令执行与反序列化漏洞:深入分析ProcessBuilder命令执行、Runtime exec命令执行漏洞,学习Java反序列化漏洞的审计与修复。
-
Java框架漏洞审计:学习Spring框架(CVE-2018-1273)、Struts2框架(S2-045/S2-057)等典型框架漏洞的审计方法与修复验证。
-
代码逆向分析与安全保护:学习编译、反编译、反汇编的概念,掌握动态调试技术、静态反编译与代码还原方法。
-
代码防篡改与加固技术:掌握代码加固技术(字符串加密、控制流混淆)、软件许可证保护及安全防护方案设计。
-
第三方测试中的代码审计:学习第三方代码审计的实施过程、团队流程管理、能力建设与风险控制
如果您想学习本课程,请
预约报名
如果没找到合适的课程或有特殊培训需求,请
订制培训
除培训外,同时提供相关技术咨询与技术支持服务,有需求请发需求表到邮箱soft@info-soft.cn,或致电4007991916
技术服务需求表点击在线申请
服务特点:
海量专家资源,精准匹配相关行业,相关项目专家,针对实际需求,顾问式咨询,互动式授课,案例教学,小班授课,实际项目演示,快捷高效,省时省力省钱。
专家力量:
中国科学院软件研究所,计算研究所高级研究人员
oracle,微软,vmware,MSC,Ansys,candence,Altium,达索等大型公司高级工程师,项目经理,技术支持专家
中科信软培训中心,资深专家或讲师
大多名牌大学,硕士以上学历,相关技术专业,理论素养丰富
多年实际项目经历,大型项目实战案例,热情,乐于技术分享
针对客户实际需求,案例教学,互动式沟通,学有所获
