WEB安全測試方法、工具與實踐
主辦單位:上海普瑞思管理咨詢有限公司 上海創(chuàng)卓商務(wù)咨詢有限公司
日期地址:2013年10月19-20日 北京
培訓(xùn)費用:5000元/人(含培訓(xùn)費、資料費、午餐費及茶點等)
課程背景
建立web應(yīng)用安全,已經(jīng)成為web應(yīng)用的最關(guān)鍵質(zhì)量,而安全測試,是有效的問題預(yù)見方法。在本課程中,學(xué)員們通過現(xiàn)場觀看安全漏洞攻擊過程,了解安全漏洞的危害,并能夠獨立通過安全測試工具發(fā)現(xiàn)常見的WEB安全漏洞。并能夠指導(dǎo)開發(fā)、或獨立完成漏洞的修復(fù)。通過了解安全測試工具開發(fā)方法,可以實踐符合自己環(huán)境要求的安全測試工具、平臺。
培訓(xùn)目標(biāo):
本課程結(jié)合典型的安全危機事件實例,讓學(xué)員全面了解安全相關(guān)的理論、技術(shù)和工具。包括:
了解安全開發(fā)生命周期。
了解安全測試的范圍、目標(biāo)。
深入掌握常見的安全漏洞的測試方法
掌握常見安全測試工具的使用方法
通過掌握安全測試方法后,了解漏洞攻擊監(jiān)控思路。
授課方式: 定制課程 + 案例講解 + 小組討論,60%案例講解,40%實踐演練
課程大綱
安全大事件回顧與思考 安全真實案例回顧與討論
安全都涉及什么
如何來預(yù)防安全事故
安全測試的目標(biāo)和范圍
安全原理:威脅建模 標(biāo)識資源(敏感數(shù)據(jù))
創(chuàng)建總體體系結(jié)構(gòu)
分解應(yīng)用程序標(biāo)識特權(quán)代碼
識別威脅
記錄威脅
評價威脅
web安全需求分析 列出網(wǎng)站資源:業(yè)務(wù)數(shù)據(jù),應(yīng)用程序,服務(wù),配置數(shù)據(jù),頁面
建立資源分布圖,確定資源位置
確定資源信任邊界
確定資源授權(quán)范圍
建立資源防范目錄
web應(yīng)用漏洞及檢測方法 常見的操作系統(tǒng)漏洞和檢查方法
常見的數(shù)據(jù)庫漏洞和檢查方法
Web服務(wù)漏洞和檢查方法
網(wǎng)絡(luò)通信漏洞和檢查方法
配置文件漏洞和檢查方法
其他資源漏洞和檢查方法
設(shè)計安全測試用例 確定安全測試點
預(yù)見可能的入侵事件
分析入侵事件的觸發(fā)條件,
設(shè)計測試用例
常見攻擊工具 Mpack
Neosploit
ZeuS
Nukesploit P4ck
Phoenix
常見安全檢查工具 IBM Rational AppScan
WebInspect
NStalker-WAS
Acunetix Web Vulnerability Scanner
網(wǎng)絡(luò)威脅檢測 網(wǎng)絡(luò)組件:路由器、防火墻和交換機
信息收集
探查
欺騙
會話劫持
中間人攻擊
安全檢測 病毒、特洛伊木馬和蠕蟲
信息收集
破解密碼
拒絕服務(wù)
任意執(zhí)行代碼
未授權(quán)訪問
WEB應(yīng)用常見威脅及其對策 輸入驗證: 緩沖區(qū)溢出攻擊
跨站點腳本編寫
SQL注入攻擊
標(biāo)準(zhǔn)化漏洞
身份驗證相關(guān)的威脅及其對策
針對授權(quán)的威脅及其對策
針對配置管理的威脅及對策
安全的加密
對抗針對操作
異常處理
進行安全審計 使用日志跟蹤安全相關(guān)事件
將日志寫入文件/數(shù)據(jù)庫
使用系統(tǒng)安全日志
課程特點:
1、理論與實踐相結(jié)合,解決你的實際問題。
2、真實案例的剖析,深入淺出的講解,使你能學(xué)以致用。
講師資質(zhì): Allen
曾任阿里巴巴安全測試高級工程師,具有多年專業(yè)的安全測試經(jīng)驗
UML軟件工程組織技術(shù)專家。
軟件技術(shù)顧問、資深講師。
從事過10年以上相關(guān)實際工作,曾在著名IT企業(yè)就職,具備豐富的實踐經(jīng)驗。
在多個大中型項目中成功實施了相關(guān)的工程技術(shù)實踐,具備真實有效的能力,而不僅僅是“名氣”。
具備深厚的理論功底,進行過專業(yè)系統(tǒng)化研究與學(xué)習(xí)。
豐富的授課經(jīng)驗,為多家大型企業(yè)授課,獲得了客戶的高度評價。
豐富的咨詢經(jīng)驗,為多家企業(yè)客戶咨詢。
能夠結(jié)合學(xué)員的需求,有效地講授理論和實踐經(jīng)驗,帶領(lǐng)學(xué)員進行具體的實踐演練。
在線報名
