專題課程

安全測(cè)試方法工具與安全防御

我要報(bào)名

編輯日期 2018-06-11　　閱讀次數(shù)：1403 次

【課程背景】

隨著Internet已經(jīng)成為一個(gè)非常重要的基礎(chǔ)平臺(tái)，黑客們蠢蠢欲動(dòng)，從網(wǎng)絡(luò)安全和應(yīng)用安全兩個(gè)維度實(shí)施攻擊。安全事件層出不窮。數(shù)據(jù)也顯示，三分之二的站點(diǎn)都相當(dāng)脆弱，易受攻擊。本次課程圍繞安全測(cè)試技術(shù)，通過(guò)設(shè)計(jì)安全測(cè)試用例及使用安全測(cè)試工具，迅速全面的查找安全漏洞。該課程還將深度分析主要安全漏洞的原理及安全防御建設(shè)思路。

【課程收益】

通過(guò)實(shí)際案例和實(shí)際工具的操作練習(xí)，使參訓(xùn)人員掌握安全測(cè)試的技術(shù)、工具、原理及實(shí)施方法，并以安全測(cè)試為核心、掌握安全設(shè)計(jì)、安全編碼、安全運(yùn)營(yíng)，形成安全防御的整套解決思路。即學(xué)即用。學(xué)員在學(xué)習(xí)過(guò)程中直接對(duì)自己的軟件產(chǎn)品進(jìn)行安全測(cè)試及疑難解答。

【培訓(xùn)時(shí)長(zhǎng)】

2天

【培訓(xùn)大綱】

知識(shí)單元	學(xué)習(xí)內(nèi)容
網(wǎng)絡(luò)安全與應(yīng)用安全	1.什么是網(wǎng)絡(luò)安全 2.網(wǎng)絡(luò)安全的常見(jiàn)防御方法（IPS/IDS/防火墻） 3.軟件應(yīng)用安全現(xiàn)狀及常見(jiàn)攻擊方式 4.軟件應(yīng)用安全測(cè)試的方式及原理 5.安全測(cè)試的十大原則； 6.安全靜態(tài)測(cè)試技術(shù)、安全動(dòng)態(tài)測(cè)試技術(shù) 7.軟件安全標(biāo)準(zhǔn)：安全規(guī)范、安全測(cè)試標(biāo)準(zhǔn)、安全編碼標(biāo)準(zhǔn)、安全等級(jí)標(biāo)準(zhǔn)等 8.如何構(gòu)建安全的防御體系
網(wǎng)絡(luò)安全測(cè)試	1. 網(wǎng)絡(luò)欺騙方式及防御測(cè)試（包括IP欺騙、源路由攻擊、TCP會(huì)話劫持、ARP地址欺騙、電子郵件欺騙、DNS欺騙、中間人攻擊等） 2. 網(wǎng)絡(luò)嗅探的檢測(cè)與防御 3. 端口掃描測(cè)試與技術(shù) 4. 拒絕服務(wù)攻擊檢測(cè)與防御
常見(jiàn)十大應(yīng)用安全漏洞深度分析及防御測(cè)試方法	1.搭建攻擊防御實(shí)例站點(diǎn)（實(shí)操測(cè)試工具） 2.十大應(yīng)用安全漏洞攻擊原理深度分析及對(duì)應(yīng)測(cè)試方法、工具（該部分隨講師一起練習(xí)測(cè)試工具及部分攻擊方法）： ü ?Sql注入、XML注入的原理、防御、測(cè)試與測(cè)試工具（SQL Inject Me/Pangolin）； ü ? 跨站腳本XSS的原理、防御、測(cè)試與測(cè)試工具(XSS Me ü /Xelenium)； ü ? 身份認(rèn)證和會(huì)話管理不當(dāng)?shù)脑?、防御、測(cè)試與測(cè)試工具(WebScrab)； ü ? 不安全的對(duì)象直接引用的原理、防御、測(cè)試與測(cè)試工具(Burp)； ü ? 跨站請(qǐng)求偽造CSRF的原理、防御、測(cè)試與測(cè)試工具(CSRFTester)； ü ? 安全配置錯(cuò)誤的原理、防御、測(cè)試與測(cè)試工具(watobo)； ü ? 存儲(chǔ)不安全的原理、防御、測(cè)試； ü ? URL訪問(wèn)控制不當(dāng)?shù)脑?、防御、測(cè)試與測(cè)試工具(nikto)； ü ? 不安全的通信的原理、防御、測(cè)試與測(cè)試工具(Calomel)； ü ? 未經(jīng)認(rèn)證的重定向和轉(zhuǎn)發(fā)的原理、防御、測(cè)試與測(cè)試工具(Watcher)；
綜合性安全測(cè)試工具	1.深度了解APPSCAN：原理、攻擊樣本、使用方法、專家分析及解決方案使用、生成報(bào)告 2.Buresuite/ZAP，兩個(gè)開(kāi)源綜合性安全測(cè)試工具的使用方法、原理及測(cè)試結(jié)果分析； 3、靜態(tài)代碼安全審計(jì)方法及工具詳解：Lapse/fortify 4、安全測(cè)試工具發(fā)現(xiàn)的問(wèn)題的歸類及修改順序、修改優(yōu)先級(jí)
安全測(cè)試過(guò)程	1.測(cè)試計(jì)劃 2.測(cè)試范圍（漏洞范圍、功能范圍） 3.測(cè)試準(zhǔn)備（人員、工具、環(huán)境、數(shù)據(jù)） 4.測(cè)試設(shè)計(jì) 5.測(cè)試執(zhí)行 6.測(cè)試報(bào)告 7.測(cè)試后處理（bug/修復(fù)/評(píng)估/數(shù)據(jù)）
安全測(cè)試用例	1、OWASP安全測(cè)試指南； 2、深度詳細(xì)講解符合企業(yè)實(shí)際應(yīng)用的7大類91個(gè)安全測(cè)試用例的設(shè)計(jì)與執(zhí)行方法；
安全設(shè)計(jì) 安全編碼安全運(yùn)營(yíng)	1.安全設(shè)計(jì)主要關(guān)注點(diǎn)，從源頭解決安全問(wèn)題 2.安全編碼方法、安全函數(shù) 3.建立安全運(yùn)營(yíng)機(jī)制及體系

上一篇：系統(tǒng)集成商信息安全市場(chǎng)機(jī)遇與應(yīng)對(duì)舉措分析

下一篇：網(wǎng)絡(luò)安全管理高級(jí)培訓(xùn)項(xiàng)目