知識(shí)單元

學(xué)習(xí)內(nèi)容

網(wǎng)絡(luò)安全與應(yīng)用安全

1.什么是網(wǎng)絡(luò)安全      

2.網(wǎng)絡(luò)安全的常見(jiàn)防御方法（IPS/IDS/防火墻）

3.軟件應(yīng)用安全現(xiàn)狀及常見(jiàn)攻擊方式

4.軟件應(yīng)用安全測(cè)試的方式及原理

5.安全測(cè)試的十大原則；

6.安全靜態(tài)測(cè)試技術(shù)、安全動(dòng)態(tài)測(cè)試技術(shù)

7.軟件安全標(biāo)準(zhǔn)：安全規(guī)范、安全測(cè)試標(biāo)準(zhǔn)、安全編碼標(biāo)準(zhǔn)、安全等級(jí)標(biāo)準(zhǔn)等

8.如何構(gòu)建安全的防御體系

網(wǎng)絡(luò)安全測(cè)試

1. 網(wǎng)絡(luò)欺騙方式及防御測(cè)試（包括IP欺騙、源路由攻擊、TCP會(huì)話(huà)劫持、ARP地址欺騙、電子郵件欺騙、DNS欺騙、中間人攻擊等）

2. 網(wǎng)絡(luò)嗅探的檢測(cè)與防御

3. 端口掃描測(cè)試與技術(shù)

4. 拒絕服務(wù)攻擊檢測(cè)與防御

常見(jiàn)十大應(yīng)用安全漏洞深度分析及防御測(cè)試方法

1.搭建攻擊防御實(shí)例站點(diǎn)（實(shí)操測(cè)試工具）

2.十大應(yīng)用安全漏洞攻擊原理深度分析及對(duì)應(yīng)測(cè)試方法、工具

（該部分隨講師一起練習(xí)測(cè)試工具及部分攻擊方法）：

ü üSql注入、XML注入的原理、防御、測(cè)試與測(cè)試工具（SQL Inject Me/Pangolin）；

ü ü 跨站腳本XSS的原理、防御、測(cè)試與測(cè)試工具(XSS Me

ü /Xelenium)；

ü ü 身份認(rèn)證和會(huì)話(huà)管理不當(dāng)?shù)脑怼⒎烙?、測(cè)試與測(cè)試工具(WebScrab)；

ü ü 不安全的對(duì)象直接引用的原理、防御、測(cè)試與測(cè)試工具(Burp)；

ü ü 跨站請(qǐng)求偽造CSRF的原理、防御、測(cè)試與測(cè)試工具(CSRFTester)；

ü ü 安全配置錯(cuò)誤的原理、防御、測(cè)試與測(cè)試工具(watobo)；

ü ü 存儲(chǔ)不安全的原理、防御、測(cè)試；

ü ü URL訪(fǎng)問(wèn)控制不當(dāng)?shù)脑怼⒎烙?、測(cè)試與測(cè)試工具(nikto)；

ü ü 不安全的通信的原理、防御、測(cè)試與測(cè)試工具(Calomel)；

ü ü 未經(jīng)認(rèn)證的重定向和轉(zhuǎn)發(fā)的原理、防御、測(cè)試與測(cè)試工具(Watcher)；

綜合性安全測(cè)試工具

1.深度了解APPSCAN：原理、攻擊樣本、使用方法、專(zhuān)家分析及解決方案使用、生成報(bào)告

2.Buresuite/ZAP，兩個(gè)開(kāi)源綜合性安全測(cè)試工具的使用方法、原理及測(cè)試結(jié)果分析；

3、靜態(tài)代碼安全審計(jì)方法及工具詳解：Lapse/fortify

4、安全測(cè)試工具發(fā)現(xiàn)的問(wèn)題的歸類(lèi)及修改順序、修改優(yōu)先級(jí)

安全測(cè)試過(guò)程

1.測(cè)試計(jì)劃

2.測(cè)試范圍（漏洞范圍、功能范圍）

3.測(cè)試準(zhǔn)備（人員、工具、環(huán)境、數(shù)據(jù)）

4.測(cè)試設(shè)計(jì)

5.測(cè)試執(zhí)行

6.測(cè)試報(bào)告

7.測(cè)試后處理（bug/修復(fù)/評(píng)估/數(shù)據(jù)）

安全測(cè)試用例

1、OWASP安全測(cè)試指南；

2、深度詳細(xì)講解符合企業(yè)實(shí)際應(yīng)用的7大類(lèi)91個(gè)安全測(cè)試用例的設(shè)計(jì)與執(zhí)行方法；

安全設(shè)計(jì)

安全編碼

安全運(yùn)營(yíng)

1.安全設(shè)計(jì)主要關(guān)注點(diǎn)，從源頭解決安全問(wèn)題

2.安全編碼方法、安全函數(shù)

3.建立安全運(yùn)營(yíng)機(jī)制及體系