《软件安全设计与开发实战》
《软件安全设计与开发实战》详细内容
《软件安全设计与开发实战》
《软件安全设计与开发实战》
快速掌握软件过程中的安全设计和安全编码
主讲:陈国星
【课程背景】
随着互联网时代的到来,企业的应用也逐步转向互联网,以互联网形式开放给用户进行使用?而互联网带来最大的问题就是安全问题,企业如何解决互联网应用的安全问题?
本课程在主动的安全开发框架指导下,深入剖析软件开发生命周期各阶段的安全细节问题,理解协同构建安全系统的方法。并通过大量的动手实操和相关案例贯穿所有的理论知识,使学员熟练掌握代码安全漏洞分析、编程规范、代码质量问题分析、安全设计与防御常见问题及解决方法。
【课程收益】
学会分析软件安全脆弱性产生的根源
展示多种攻击软件的手段、指出软件开发过程中不同人员在设计和开发中常犯的错误
探讨当前软件安全界关注的热点问题总结和提高软件质量和安全性的指导思想、开发策略、技术路线和实施方法
掌握代码安全典型漏洞
安全漏洞攻防演练
掌握通用代码编程规范
能够对代码进行质量问题分析
掌握项目的安全设计与防御
【课程对象】IT技术负责人、软件架构师、系统分析师、资深开发人员、测试人员、信息技术安全部门的相关人员
【课程时间】2天
【课程大纲】
一、安全知识背景
1、安全基础
当前企业面临的安全态势分析
安全分类
Top 10安全问题分析
安全案例分析
2、常见的Web攻击手段
二、服务器&浏览器安全
1、服务器安全
服务器分等级隔离部署策略
应用部署的目录要求
服务器开放账号最小特权权限
端口白名单开放策略
不同权限级别用户增加额外访问控制
公共配置存储的安全
检测指定web应用是否开放非必须的http方法
http trace方法开放测试
关闭后台调试信息
应用上传路径的安全监控
2、浏览器安全
浏览器厂商对安全的日渐重视
同源策略
浏览器沙箱
恶意网址拦截
基于浏览器自身安全机制的提升
三、常用安全漏洞的攻与防-客户端安全
1、跨站脚本攻击(XSS)
什么是XSS
XSS为什么是一种热门攻击手段
XSS Payload的定义
Cookie劫持
XSS钓鱼
常见的CSS攻击平台
XSS Worm
XSS构造技巧
如何防御XSS
实战:XSS攻击与防范实战
2、跨站请求伪造(CSRF)
CSRF定义
CSRF可以做什么
CSRF漏洞现状
CSRF的攻击原理
如何防御CSRF
CSRF与XSS的比较
实战:CSRF修改用户密码以及防范措施
3、钓鱼攻击
什么是钓鱼攻击
钓鱼攻击的一般步骤
目前钓鱼攻击的调查报告统计
钓鱼攻击有哪些常见的方法
案例:钓鱼攻击
4、点击劫持
点击劫持的定义
常见的点击劫持分类
5、HTML5安全
Iframe sandbox机制
Canvas
PostMessage跨窗口消息传递
WebStorage本地存储
案例:Noreferer问题演示与防范
四、常用安全漏洞的攻与防-服务端安全
1、SQL注入
SQL注入定义
SQL注入目的
常用的SQL注入语句
SQL注入方式
注入思路分析
SQL盲注与一般SQL注入的区别
如何防御SQL注入
实战:SQL注入攻击与防范实战
2、文件上传和下载漏洞
文件上传漏洞的定义
因文件上传漏洞所带来的安全问题
必须具备的条件
文件上传漏洞包括哪些类型
如何防御文件上传漏洞
实战:文件上传和下载漏洞注入攻击与防范实战
3、认证与会话管理
认证与授权的定义
认证分类
密码认证的优缺点
密码设计应遵循的原则
密码出错策略设置
密码输入框的密文显示
密码的加密存储
密码的加密传输
初始化口令的要求
验证码的安全使用
认证处理模块的合法性校验及认证结果返回要求
关键事务处理的多级认证和强身份认证
会话重写
用户账号的锁定策略
Session机制详解
Session常用的攻击漏洞
获取sessionid的两种手段
注销时会话清除
单点登录
如何进行认证测试
不安全的数据传输
服务端业务处理的流程顺序限制
案例:Session劫持与防范
4、访问控制
不安全对象的引用
功能级的访问必须经过认证和鉴权
认证和鉴权必须在服务器端处理
采用最小化权限控制策略
应用程序运行账号和数据库连接账号的分离以及最小职权原则
操作系统文件的权限控制策略
访问控制的分类
垂直权限管理
水平权限管理
5、安全配置错误
安全配置的定义
因安全配置错误引发的安全问题
如何防御安全配置错误引发的安全问题
案例:文件目录的安全问题
6、使用含有已知漏洞的组件
描述
所带来的危害
解决办法
7、未验证的重定向和转发
案例
解决办法
8、敏感信息泄露
敏感信息的定义
敏感信息的危害
敏感信息的案例
如何解决敏感信息泄露引发的问题
如何进行敏感信息泄露的测试
代码中的敏感数据
禁止明文存储密钥和口令
禁止Cookie中存储明文形式敏感数据
安全的加密算法推荐
日志中敏感数据存储
敏感数据禁止缓存到页面
敏感数据表单提交规则
使用带证书的SSL
禁止URL中携带敏感信息
9、拒绝服务攻击
网络层的拒绝服务攻击
应用层的拒绝服务攻击
如何防范应用层的拒绝服务攻击
10、安全审计
安全事件和操作事件的记录
安全日志的访问权限控制
安全日志的分析
陈国星老师的其它课程
《互联网常用中间件之场景化实战》 01.15
《互联网常用中间件之场景化实战》企业中间件最佳实践主讲:陈国星【课程背景】随着互联网时代的到来,数据量急剧增加,并发量也越来越大,用户对于系统的体验和要求也变得越来越高,从而对系统可靠性、性能及可扩展性目标也提出了更大的挑战,企业的架构设计和开发人员熟悉业界主流成熟中间件的使用方法和场景就显得尤为重要。本课程围绕业界主流成熟中间件,以场景化案例方式贯穿整个课
讲师:陈国星详情
《微服务架构设计与实战》 01.15
《微服务架构设计与实战》企业微服务架构落地实战主讲:陈国星【课程背景】随着互联网时代的到来,数据量急剧增加,并发量也越来越大,传统的单体应用访问起来变得越来越缓慢?企业如何快速的找到应用缓慢的根源并进行快速的优化?企业如何重新规划和设计高可用高并发的分布式系统的架构,而微服务架构已然成为分布式系统架构最主流的实现方案。本课程首先从软件架构的演变历程开始分析,
讲师:陈国星详情
《Java企业应用开发与项目实战》 01.15
《Java企业应用开发与项目实战》立志于快速专向Java企业应用开发主讲:陈国星【课程背景】企业通过校招或社招的新员工如何快速掌握Java开发的技能,进入实际的企业项目开发?企业已有员工想从其它岗位方向如何快速转型Java企业应用开发?本课程采取由浅入深、案例实战驱动理论学习的教学方式,站在一个拥有多年Java开发经验的角度以理论+案例实战的方式带领学员攻克
讲师:陈国星详情
《JVM深入剖析与调优实战》 01.15
《JVM深入剖析与调优实战》快速掌握JVM调优策略和步骤主讲:陈国星【课程背景】随着互联网时代的到来,数据量急剧增加,并发量也越来越大,企业的应用随着上线的时间越来越长,访问起来变得越来越缓慢?企业如何快速的找到应用缓慢的根源并进行快速的优化?而Java企业应用运行在JVM之上,如何通过JVM调优快速提供应用的访问速度和性能?本课程围绕实际的项目中遇到的各种
讲师:陈国星详情
《SpringBoot应用开发与实战》 01.15
《SpringBoot应用开发与实战》Java企业级应用快速开发神器主讲:陈国星【课程背景】微服务架构已然成为了当下最流行的热门话题,并且它已被各种规模的互联网公司广泛接受和认可,而SpringBoot以其极速开发为特点也已成为互联网开发人员必备技术。无论是互联网、云计算还是大数据,Java平台已成为全栈的生态体系,其重要性几乎不可替代。而SpringBoo
讲师:陈国星详情
- [潘文富] 经销商终端建设的基本推进
- [潘文富] 中小企业招聘广告的内容完
- [潘文富] 优化考核方式,减少员工抵
- [潘文富] 厂家心目中的理想化经销商
- [潘文富] 经销商的产品驱动与管理驱
- [王晓楠] 辅警转正方式,定向招录成为
- [王晓楠] 西安老师招聘要求,西安各区
- [王晓楠] 西安中小学教师薪资福利待遇
- [王晓楠] 什么是备案制教师?备案制教
- [王晓楠] 2024年陕西省及西安市最
- 1社会保障基础知识(ppt) 21174
- 2安全生产事故案例分析(ppt) 20258
- 3行政专员岗位职责 19065
- 4品管部岗位职责与任职要求 16242
- 5员工守则 15474
- 6软件验收报告 15414
- 7问卷调查表(范例) 15126
- 8工资发放明细表 14567
- 9文件签收单 14218