四川快乐12官方网站

广告位
软件安全的设计与开发
软件安全的设计与开发
开课时间:06/22-23日
授课讲师: 陈国星
在线报名
报名电话:020-38931912
课程技能测试(鲲测评)
课程介绍
课程描述:
本课程在主动的安全开发框架指导下,深入剖析软件开发生命周期各阶段的安全细节问题,理解协同构建安全系统的方法。并通过大量的动手实操和相关案例贯穿所有的理论知识,使学员熟练掌握代码安全漏洞分析、编程规范、代码质量问题分析、安全设计与防御常见问题及解决方法。
授课对象:
1)IT企业中的技术负责人;
2)软件架构师、系统分析师、资深开发人员、测试人员;
3)信息技术安全部门的相关人员;
4)大专院校或科研院所相关专业的教师、研究人员;
5)对信息行业安全问题感兴趣的人员。
课程内容
全部展开
第1天
安全基础
常见的Web攻击手段
服务器信息安全
服务器分等级隔离部署策略
应用部署的目录要求
服务器开放账号最小特权权限
端口白名单开放策略
不同权限级别用户增加额外访问控制
公共配置存储的安全
检测指定web应用是否开放非必须的http方法
http trace方法开放测试
关闭后台调试信息
应用上传路径的安全监控
Web应用安全
Web应用十大安全漏洞分类:客户端安全和服务器端安全
客户端安全
浏览器安全
浏览器厂商对安全的日渐重视
同源策略
浏览器沙箱
恶意网址拦截
基于浏览器自身安全机制的提升
跨站脚本攻击(XSS)
什么是XSS
XSS为什么是一种热门攻击手段
XSS Payload的定义
Cookie劫持
XSS钓鱼
常见的CSS攻击平台
XSS Worm
XSS构造技巧
如何防御XSS
【案例】XSS攻击与防范
输入验证
什么是输入验证
输入验证的必要性
输入验证漏洞的主要类型以及修复建议
输入验证用到的常用技术
输出验证
什么是输出验证
输出验证的必要性
输出验证的最佳实际
与输出验证相关的漏洞
如何验证输出验证
跨站请求伪造(CSRF)
CSRF定义
CSRF可以做什么
CSRF漏洞现状
CSRF的攻击原理
如何防御CSRF
CSRF与XSS的比较
【案例】CSRF修改用户密码以及防范措施
钓鱼攻击
什么是钓鱼攻击
钓鱼攻击的一般步骤
目前钓鱼攻击的调查报告统计
钓鱼攻击有哪些常见的方法
【案例】钓鱼攻击
点击劫持(ClickJacking)
点击劫持的定义
常见的点击劫持分类
HTML5安全
Iframe sandbox机制
Canvas
PostMessage跨窗口消息传递
WebStorage本地存储
【案例】Noreferer问题演示与防范
第2天
服务器端安全
SQL注入
SQL注入定义
SQL注入目的
常用的SQL注入语句
SQL注入方式
注入思路分析
SQL盲注与一般SQL注入的区别
如何防御SQL注入
【案例】SQL注入与防范案例
文件上传和下载漏洞
文件上传漏洞的定义
因文件上传漏洞所带来的安全问题
必须具备的条件
文件上传漏洞包括哪些类型
如何防御文件上传漏洞
【案例】文件上传漏洞实例
【方案】文件安全下载的实施方案
认证与会话管理
【案例】Session劫持与防范
访问控制
不安全对象的引用
功能级的访问必须经过认证和鉴权
认证和鉴权必须在服务器端处理
采用最小化权限控制策略
应用程序运行账号和数据库连接账号的分离以及最小职权原则
操作系统文件的权限控制策略
访问控制的分类
垂直权限管理
水平权限管理
安全配置错误
安全配置的定义
因安全配置错误引发的安全问题
如何防御安全配置错误引发的安全问题
【案例】文件目录的安全问题
使用含有已知漏洞的组件
描述
所带来的危害
解决办法
未验证的重定向和转发
案例
解决办法
敏感信息泄露
敏感信息的定义
敏感信息的危害
敏感信息的案例
如何解决敏感信息泄露引发的问题
如何进行敏感信息泄露的测试
代码中的敏感数据
禁止明文存储密钥和口令
禁止Cookie中存储明文形式敏感数据
安全的加密算法推荐
日志中敏感数据存储
敏感数据禁止缓存到页面
敏感数据表单提交规则
使用带证书的SSL
禁止URL中携带敏感信息
拒绝服务攻击
网络层的拒绝服务攻击
应用层的拒绝服务攻击
如何防范应用层的拒绝服务攻击
安全审计
安全事件和操作事件的记录
安全日志的访问权限控制
安全日志的分析
讲师简介
陈国星
研发迭代领域专家
互联网创业公司团队管理领域专家
阿里云企业级互联网架构认证专家
阿里云受邀讲师
软件安全架构领域专家
曾参与广东省智慧城市建设项目、教育行业云平台与虚拟化平台建设、基于IOT在美妆行业的平台建设、基于微服务架构的数据与服务共享平台建设。 精通大型分布式应用架构设计与技术研发。对于大规模分布式架构、微服务架构、软件安全架构设计等方向特别有研究,尤其对于高并发应用有丰富的架构经验。擅长Java开发技能体系、软件架构、微服务、软件工程和研发团队管理,长期为某上市集团公司提供项目管理和架构顾问支持,曾在麦当劳、迪士尼、科海股份、花样年集团、中国电信等企业做过上门的项目服务,咨询及培训服务过300多家成长型企事业单位。现为中睿信息CTO,高级技术顾问,首席系统架构师和资深讲师。
学员评价
学员评价  (0)
我要评价
关联活动
企业如何高效进行软件安全设计与开发 随着互联网的高速发展,企业内部应用也开始逐步的开放到互联网,势必会面临更大的安全挑战,随着这些年技术的飞速发展,安全也由原来的硬件安全、操作系统安全开始转向企业应用软件的安全。 本次直播将从企业应用软件本身角度深入剖析软件开发生命周期各阶段的安全细节问题,理解协同构建安全系统的方法。
中睿课程申报
申报课程
联系人   
公司名称
联系邮箱
联系电话
联系我们CONTACT 扫一扫
愿景:成为最专业的软件研发服务领航者
中睿信息技术有限公司 广州•深圳 Tel:020-38931912 务实 Pragmatic
广州:广州市天河区翰景路1号金星大厦18层中睿信息 Fax:020-38931912 专业 Professional
深圳:深圳市福田区车公庙有色金属大厦509~510 Tel:0755-25855012 诚信 Integrity
版权所有:广州中睿信息技术有限公司 粤ICP备13082838号-2