紅黑演義之電商網(wǎng)站安全測試技能與沙盤實(shí)踐演練

我要報(bào)名

編輯日期 2018-06-11　　閱讀次數(shù)：1430 次

課程目標(biāo)

? 強(qiáng)化軟件安全測試意識，提高安全認(rèn)知水平。

? 掌握軟件安全測試的基本原則，將大部分的安全隱患通過安全測試提高而遏制。

? 通過課程，讓學(xué)員深刻了解應(yīng)用軟件安全測試與安全漏洞之間的因果關(guān)系。

? 掌握安全測試基礎(chǔ)知識和技能技巧，深入了解安全測試在軟件開發(fā)中的應(yīng)用。

? 幫助測試人員掌握安全測試原則和技能，懂得應(yīng)用系統(tǒng)安全測試技術(shù)規(guī)范。

? 讓學(xué)員形成結(jié)構(gòu)化的信息安全知識體系，達(dá)到通過資料課后自主深化學(xué)習(xí)的能力。

課程內(nèi)容

? 黑客猛于虎感知篇

深刻感知和深化了解黑客是如何攻擊的，軟件測試人員應(yīng)該如何應(yīng)對？

? 紅黑演義測試實(shí)戰(zhàn)篇

重現(xiàn)黑客攻擊過程，從對手角度深刻理解以往測試中有哪些致命漏洞，有哪些會給黑客帶來突破口的地方？重現(xiàn)開展應(yīng)用軟件漏洞修補(bǔ)工作，通過沙盤案例分享，深度思考如何立體綜合防御，軟件設(shè)計(jì)、開發(fā)中有什么靈感？

? 漏洞原理基礎(chǔ)篇

本篇從形象生動的故事化加解密原理講起，深入了解準(zhǔn)金融級別的安全如何設(shè)計(jì)，中間有哪些重要組成部分，它們之間是如何協(xié)同工作的，它們又怎么被黑客突破的？

? 架構(gòu)設(shè)計(jì)應(yīng)用篇

時間：本篇從國際、國內(nèi)標(biāo)準(zhǔn)及金融行業(yè)標(biāo)準(zhǔn)規(guī)范講起，結(jié)合經(jīng)典的金融系統(tǒng)架構(gòu)設(shè)計(jì)思路，通過學(xué)員提問方式，開展架構(gòu)設(shè)計(jì)深度研討。

? 規(guī)范制定升華篇

時間：本篇的目的是讓學(xué)員能夠從安全測試標(biāo)準(zhǔn)化角度思考問題，通過案例方式給現(xiàn)場學(xué)員分享，實(shí)現(xiàn)本次培訓(xùn)課程的升華。

教學(xué)模式

本課程提供一套“紅黑演義攻防演練硬件平臺”，通過現(xiàn)場版的“應(yīng)用系統(tǒng)漏洞攻防場景”，對演練平臺上的應(yīng)用系統(tǒng)場景開展安全攻防測試實(shí)踐，提高他們對各種隱患風(fēng)險(xiǎn)的識別和驗(yàn)證能力，學(xué)員自帶筆記本進(jìn)行練習(xí)實(shí)踐。

通過“從工作中來，到工作去”的課程設(shè)計(jì)理念，從正反兩方面再現(xiàn)測試實(shí)戰(zhàn)技術(shù)，正方即紅方學(xué)員開展正面的應(yīng)用系統(tǒng)測試驗(yàn)證，重點(diǎn)講解如何進(jìn)行脆弱性識別，如何運(yùn)用安全典型實(shí)踐對信息系統(tǒng)進(jìn)行安全測試驗(yàn)證；反面的是，黑方學(xué)員現(xiàn)場模擬黑客精密的犯罪過程，深入了解黑客入侵的思路和方法，快速提高安全測試能力；紅方學(xué)員再次充當(dāng)軟件測試技術(shù)人員，信息系統(tǒng)遭受到黑客入侵后，如何從應(yīng)用系統(tǒng)的日志記錄來發(fā)現(xiàn)黑客的行蹤、入侵方式和攻擊手段，研討如何加強(qiáng)應(yīng)用系統(tǒng)自身的安全認(rèn)證、授權(quán)、審計(jì)功能。

通過結(jié)合常見安全測試原則，對信息安全技術(shù)的深度講解，深入剖析黑客攻擊原理和攻擊路線，切實(shí)提升學(xué)員對信息安全系統(tǒng)的測試能力。

實(shí)踐環(huán)境：

應(yīng)用系統(tǒng)安全測試攻防演練硬件平臺，課程中將配合大量實(shí)戰(zhàn)案例，通過反復(fù)強(qiáng)調(diào)安全原則，不斷刷

課程內(nèi)容

主題		內(nèi)容		案例、實(shí)操、分析與探討
第一天黑客猛于虎感知篇主講人：張勝生首席安全資深講師/CISSP、CISP金牌講師
大中型企業(yè)信息安全慘痛案例分析		1、黑客產(chǎn)業(yè)鏈與企業(yè)挑戰(zhàn)		n 重點(diǎn)：認(rèn)識漏洞后果，加強(qiáng)安全開發(fā)意識 n 演示：信息安全真實(shí)場景再現(xiàn) n 分析：業(yè)界常見信息安全脆弱點(diǎn) n 探討：業(yè)界典型防護(hù)方式探討
		2、服務(wù)器被入侵演示與分析
		3、密碼被竊場景演示與分析
		4、僵尸網(wǎng)絡(luò)場景演示與分析
黑客破壞企業(yè)應(yīng)用系統(tǒng)場景重現(xiàn)與企業(yè)測試實(shí)踐		安全測試與企業(yè)安全生成關(guān)系，強(qiáng)化理解軟件漏洞在軟件運(yùn)行中的破壞威力，應(yīng)該掌握基本的安全原則，一切從安全意識出發(fā)，從我做起。		針對信息安全漏洞進(jìn)行深入剖析，從軟件安全測試的角度認(rèn)識安全漏洞。 n 重點(diǎn)：安全測試認(rèn)知中我缺少了什么？我該做什么才能讓軟件安全起來？ n 演練：網(wǎng)絡(luò)攻擊過程重現(xiàn) n 探討：應(yīng)用系統(tǒng)測試如何驗(yàn)證網(wǎng)絡(luò)監(jiān)聽漏洞 n 案例：應(yīng)用系統(tǒng)客戶端入侵案例測試與分析 n 案例：應(yīng)用系統(tǒng)傳輸安全入侵案例測試與分析 n 案例：WEB與數(shù)據(jù)庫安全測試案例重現(xiàn)與分析 n 案例：應(yīng)用系統(tǒng)認(rèn)證、授權(quán)、審計(jì)功能測試案例剖析 n 案例：某單位應(yīng)用系統(tǒng)安全測試分析與整改 n 探討：軟件安全測試與流程探討
		1、安全測試重要環(huán)節(jié)回顧
		2、隱患原理動畫與測試流程
		3、企業(yè)安全中經(jīng)常犯的錯誤分析
		4、軟件安全測試中原則與職責(zé)
		5、企業(yè)軟件和測試中遇到的安全問題分析
		6、電商系統(tǒng)安全架構(gòu)案例剖析
		7、電商中應(yīng)用系統(tǒng)與數(shù)據(jù)庫安全隱患分析
		8、電商中應(yīng)用系統(tǒng)安全評估方法和流程
		9、電商WEB系統(tǒng)安全測試實(shí)踐練習(xí)
		10、數(shù)據(jù)庫安全漏洞測試及企業(yè)常見隱患分析
第二天、第三天安全測試綜合案例演練分享主講人：張勝生首席安全資深講師/CISSP、CISP金牌講師
電商務(wù)系統(tǒng)安全測試綜合實(shí)踐		業(yè)界常見漏洞測試OWASP TOP 10		n 安全漏洞與安全測試認(rèn)知關(guān)系，如何加深認(rèn)知水平，簡單有效防范漏洞的產(chǎn)生。
		1、輸入驗(yàn)證——SQL注入測試與防范實(shí)踐重現(xiàn)		n 演練：電商系統(tǒng)SQL注入測試與代碼修補(bǔ) n 演練：電商系統(tǒng)SQL注入繞過測試 n 演練：利用XSS在后臺增加管理員賬戶測試 n 演練：利用XSS實(shí)現(xiàn)釣魚攻擊測試 n 實(shí)操：電商系統(tǒng)XSS漏洞修補(bǔ) n 演練：電商系統(tǒng)LINUX系統(tǒng)權(quán)限提升 n 演練：電商系統(tǒng)LINUX Rootkit安裝與檢測 n 實(shí)操：操作系統(tǒng)測試與加固 n 實(shí)操：數(shù)據(jù)庫測試及加固 n 實(shí)操：日志服務(wù)器搭建與入侵現(xiàn)象分析
		2、輸入驗(yàn)證——跨站測試分析與防范實(shí)踐重現(xiàn)
		3、輸入驗(yàn)證——CSRF高級腳本測試分析與防范實(shí)踐重現(xiàn)
		4、輸入驗(yàn)證——高級釣魚測試入侵分析與防范實(shí)踐重現(xiàn)
		5、日志系統(tǒng)搭建與入侵痕跡分析重現(xiàn)
		6、軟件安全測試中輸入驗(yàn)證、輸出驗(yàn)證的重要地位總結(jié)
電商相關(guān)系統(tǒng)測試		1、“永遠(yuǎn)不要相信客戶端”是個永恒的話題。		深度理解永遠(yuǎn)不要相信客戶端 n 演練：系統(tǒng)用戶cookie測試與防御 n 演練：系統(tǒng)用戶密碼釣魚測試與防御 n 演練：系統(tǒng)安全規(guī)劃與部署與測試 n 案例：《論網(wǎng)絡(luò)持久戰(zhàn)》場景講解 n 探討：中高級黑客與管理員戰(zhàn)爭的路線
		2、郵件系統(tǒng)跨站獲取登錄信息測試分析與防范實(shí)踐
		3、郵件系統(tǒng)跨站獲取帳號密碼測試分析與防御實(shí)踐
		4、郵件系統(tǒng)WEB程序安全測試實(shí)踐
第四天漏洞原理及安全測試基礎(chǔ)篇主講人：張勝生首席安全資深講師/CISSP、CISP金牌講師
漏洞原理及安全測試基礎(chǔ)篇	漏洞原理匯總		n 密碼原理實(shí)踐演示 n 專題：PKI技術(shù)架構(gòu)與SSO方案測試 n 分享：應(yīng)用系統(tǒng)密碼技術(shù)應(yīng)用實(shí)例測試 n 工作中遇到的加解密原理及深度測試
	安全基本原則
	密碼學(xué)原理知識：對稱加密、非對稱加密、哈希算法、CA、LDAP、CRL、、密鑰管理
	密碼學(xué)技術(shù)應(yīng)用：常見弱加密、強(qiáng)加密，持續(xù)認(rèn)證
	密鑰管理體系與單雙向SSL加密
第五天測試應(yīng)用篇、規(guī)范制定升華篇主講人：張勝生首席安全資深講師/CISSP、CISP金牌講師
測試用例設(shè)計(jì)與應(yīng)用篇	安全基本原則在威脅面分析中的沙盤推演		運(yùn)用安全基本原則，講解通過案例分享與提問方式的沙盤推演，在應(yīng)用系統(tǒng)安全架構(gòu)層面進(jìn)行講解，使參訓(xùn)人員能夠掌握在不同場景下的安全測試流程與方案制定。
	安全原則運(yùn)用與安全建模沙盤推演
	測試驗(yàn)證沙盤推演
測試規(guī)范運(yùn)用升華篇	安全基本原則與如何開展應(yīng)用系統(tǒng)安全測試技術(shù)規(guī)范制定		重點(diǎn)：升華到安全測試人員迫切需要運(yùn)用企業(yè)自己的安全測試規(guī)范，深度認(rèn)知安全測試基本原則，懂得安全測試基本原則的運(yùn)用方式方法。研討：應(yīng)用系統(tǒng)安全測試生命周期隱患推演：應(yīng)用系統(tǒng)各個環(huán)節(jié)安全規(guī)范要素與測試深度定位案例：應(yīng)用系統(tǒng)悲催的故事與測試應(yīng)對案例分析升華：論信息安全持久戰(zhàn)
	安全基本原則如何深入自己的測試實(shí)例和習(xí)慣中？
	安全測試知識體系及深化學(xué)習(xí)建議
	論信息安全持久戰(zhàn)

新安全意識的認(rèn)知深度和實(shí)踐技能。

上一篇：紅黑演義之軟件安全意識和安全驗(yàn)證技能提高課

下一篇：紅黑演義攻防實(shí)戰(zhàn)沙盤演練高級培訓(xùn)