首页
课程中心
专家团队
新闻中心
精彩活动
关于我们

课程中心

Web安全开发

  • 主讲老师:汤老师
  • 培训天数:3天
  • 公开课费用:6200元/人
“没有网络安全,就没有国家安全”。培养优秀的底层安全人才,是我们设计这个课程的初衷。

近年来,IT安全问题日益突出,安全事故频频发生,各种系统漏洞、勒索木马、病毒和流氓软件等对企事业单位、公司、学校、医院和个人造成重大损失。因此IT安全日益受到业界和国家的重视,国家领导人曾说“没有网络安全,就没有国家安全”。

一、课程设计
15种漏洞主题参照OWASP top10,以及各大漏洞提交平台及SRC最常出现的漏洞进行归纳总结。
每个主题按照漏洞原理、漏洞代码分析、测试方法及工具、漏洞防范措施、如何开发出安全的代码,五大详细内容分类来进行深入讲解。
整个课程包含了大量的实际项目案例,通过案例阐述在实际项目中的应用,让开发人员深入理解和学习每种漏洞的原理、测试、预防措施,开发出安全的程序,在开发阶段就杜绝产品的漏洞问题。

二、参与对象
渗透测试人员、Web开发人员、安全开发、安全咨询顾问、软件测试、架构师、项目经理、设计人员。

三、学员基础
有一定程序设计语言基础
对安全漏洞有一定基础概念
对软件开发以及实施有一定了解
具有售前相关工作经验的人员
(以上至少满足一条)

四、证书
培训结束,颁发中科院计算所职业培训中心“Web安全开发”结业证书

 

本课程有企业内训形式,授课老师、课程内容、教学方式均依据企业的培训需求灵活设置。

 

本网站内容包括并不限于课程介绍、课程大纲、上课照片、老师介绍等等资料及信息,未经允许不得抄袭和转载。

主题

内容概述

1、SQL注入漏洞

1.sql注入漏洞原理

2.sql注入漏洞测试方法(演示,案例)

   --常见注入类型(字符、数字、搜索)

   --盲注(boolian base&time base)

3.sql-map使用介绍(演示)

4.sql注入防范措施

5.解决SQL注入的安全开发方法

2、命令执行

1.系统命令注入漏洞原理

2.系统命令漏洞测试方法(演示,案例)

3.系统命令注入防范

4.解决系统命令注入的安全开发方法

3、代码注入

1.代码注入漏洞原理

2.代码注入漏洞测试方法(演示,案例)

   --include()

   --eval()

3.代码注入防范措施

4.解决代码注入的安全开发方法

4、文件上传漏洞

1.不安全的上传漏洞

 --客户端验证问题

 --服务端验证问题

(MIME type,getimagesize())

2.不安全的下载漏洞

3.防范措施

4.解决文件上传漏洞的安全开发方法

5、文件包含

1. 文件包含漏洞原理

2.代码注入漏洞测试方法(演示,案例)

   --远程文件包含

   --本地文件包含

3. 文件包含防范措施

4.解决文件包含的安全开发方法

6、跨站脚本攻击(XSS)

1.跨站脚本漏洞原理

2.跨站脚本测试方法(演示、案例)

  --反射性xss(get&post)

  --存储型xss

  --dom型xss

3.防范措施

4.解决XSS的安全开发方法

7、跨站请求伪造(CSRF)

1.跨站请求伪造原理

2.跨站请求伪造测试方法(演示、案例)

  --csrf (get)

  --csrf(post)

3.防范措施

  --token是如何防止csrf的

4.解决CSRF的安全开发方法

8、暴力破解

1.暴力破解攻击及漏洞原理

2.暴力破解漏洞测试方法(演示、案例)

3.burp-suite使用介绍(基于表单的暴力破解演示)

4.不安全的验证码(演示、案例)

5.防范措施

6.解决暴力破解的安全开发方法

9、不安全的会话管理

1.不安全的“会话超时”测试方法

2.不安全的“会话暴露”测试方法

3.会话固定漏洞测试方法(案例)

4.防范措施

5.解决不安全的会话管理的安全开发方法

10、安全配置错误

1.目录遍历(案例)

2.后台管理界面泄露(案例)

3.测试数据未删除(案例)

4.防范措施

5.解决安全配置错误的安全开发方法

11、敏感信息泄漏

1.敏感信息未加密传输、存储

2.敏感信息在客户端泄露(内存、cookie、注释)

3.防范措施

4.解决敏感信息泄漏的安全开发方法

12、使用含有已知漏洞的组件

1.使用含有已知漏洞的组件

  --案例:心脏出血漏洞、struts2远程执行漏洞、PHP CGI 远程执行漏洞

2.防范措施

3.解决含有已知漏洞的组件的安全开发方法

13、不安全的URL跳转

1.不安全的url跳转漏洞(原理、案例)

2.防范措施

3.解决不安全的URL跳转的安全开发方法

14、越权

1.越权漏洞原理

2.越权漏洞测试方法(案例,演示)

   --横向越权

   --水平越权

3.防范措施

4.解决不安全的URL跳转的安全开发方法

15、业务逻辑漏洞

用户体系

在线支付

顺序执行

oauth授权

本地限制,抓包绕过

解决业务逻辑漏洞的常用安全开发方法

 

名  称:北京市海淀区中科院计算所职业技能培训学校
开户行:北京银行中关村支行
帐  号:01090302900120105445661

京公网安备 11010802025851号

 京ICP备14030124号-1  

QQ咨询

免费电话

010-82661221

微信咨询

微信客服

在线报名

返回顶部