曙海教学优势
该课程面向企事业项目实际需要,教学以实用为导向,秉承21年积累的教学品质,安全编码规范与WEB安全构架培训学习学校以项目实现为导向,老师将会与您分享设计的全流程以及工具的综合使用技巧、经验。上门/线上/线下皆可,小班面授,互动直播任选.专注技术培训,匠心服务,实战教学。上门/线上/线下皆可,安全编码规范与WEB安全构架培训学习学校专家,课程可定制,热线:4008699035。
大批企业和曙海
建立了良好的合作关系,合作企业30万+。我们课程培养了十几万受欢迎的工程师。曙海的课程在业内有着响亮的知名度,同心致远,博大精深。
培训对象及学员基础:
Ø 软件开发项目管理人员
Ø 软件开发编程人员
Ø 软件开发构架师
Ø 软件开发测试人员
Ø 具备1年以上工作经验的企业信息安全技术人员
Ø 信息安全相关企业从业者
Ø 企业IT及信息安全审计人员
Ø 有参加CTF比赛兴趣和需求的人员
课程介绍:WEB安全问题是当前信息安全领域的最大也是最热门的问题。当今社会互联网已经渗透到社会中的每个环节,而只要存在互联网的地方就往往伴随着WEB安全的存在,同事WEB安全问题是当前信息安全领域的最大也是最热门的问题,近几年来,WEB安全事件的比重已经占到整个信息安全得70%以上。而传统的安全解决方案往往都是通过添加设备等方式解决问题,这样的方式治标不治本,成本很高,效果很差。而完整完善的编码规范、科学合理的构架设计能够从源头上弥补绝大部分WEB安全的漏洞,消除安全隐患。本课程结合大量代码实例和漏洞演示,以及部分案例讲解,将整个WEB安全中常见的安全漏洞全面地传授给学员,并教授学员解决问题的思路和方法。并从攻防两个方面训练学员的编程和利用技巧,提升学员的安全意识、拓宽眼界和思路。
培训目标:学完本课程后,学员可以在一下方面得到提高:
Ø 个人安全意识和安全常识的提升
Ø 掌握可能导致信息泄露的薄弱环节
Ø 规避软件开发过程中常见的逻辑漏洞
Ø 掌握密码相关的应用、保存、管理规范
Ø 严格身份验证与权限管理
Ø 数据库业务的代码编写规范和防护技巧
Ø 安全构架的设计和标准
Ø 规避WEB服务应用的弱点
内容介绍:
|
模块名称 |
课程内容 |
|
总体简介 |
安全开发流程和安全编码的基本原则。 |
|
一、 输入数据安全 |
1. 输入即有害(sql原理详解及演示) 2. 输入数据的验证原则:A、输入数据的验证原则(前端绕过问题)B、编码的字符集问题(宽字节注入详解及演示)C、对所有来自用户的数据进行验证(二次注入详解及演示) 3. 数据的预处理 4. 验证数据内容:A、验证数据范围(SSRF攻击详解)B、验证数据长度(基于约束条件的SQL攻击详解及演示)C、 验证正确的数据类型(反序列化攻击详解) 5. 编写危险字符的处理流程 |
|
二、 输出数据验证 |
1. 输出编码(XSS跨站攻击详解及演示) 2. 错误信息必须进行净化(google hacking攻击) 3. 基于查询的输出净化(实体注入攻击详解) 4. 输出数据的净化问题(HTTP拆分攻击详解及演示 |
|
三、 编程与加密 |
1. hash的应用和弱点(HASH扩展攻击详解及演示) 2. 密码旁路攻击的危害(oracle padding攻击详解及演示) |
|
四、 身份验证和密码管理 |
1. 身份验证的保护(验证码安全及基于验证码的爆破) 2. Owasp基于身份验证的流程建议(密码重置攻击详解) 3. 密码及密码管理规范 |
|
五、 访问控制管理 |
1. 授权用户管理和验证(越权攻击、基于逻辑漏洞的验证绕过、针对cookie的攻击) 2. 用户最小权限规则(各种因为权限处理不当造成的提权漏洞演示,兼谈WEB服务器中文件、目录的相应权限设置) 3. 用户权限的生命周期 |
|
六、 数据保护问题 |
1. 源代码安全 2. 日志与清理痕迹 3. 信息泄露漏洞,兼谈在安全中的个人安全意识问题 |
|
七、 文件管理 |
1. 文件的调用和包含(文件包含漏洞详解与演示) 2. 文件上传与文件解析(漏洞详解与演示) 3. 文件的验证白名单机制 |
