班级规模及环境--热线:4008699035 手机:15921673576( 微信同号) |
坚持小班授课,为保证培训效果,增加互动环节,每期人数限3到5人。 |
上课时间和地点 |
上课地点:【上海】:同济大学(沪西)/新城金郡商务楼(11号线白银路站) 【深圳分部】:电影大厦(地铁一号线大剧院站)/深圳大学成教院 【北京分部】:北京中山学院/福鑫大楼 【南京分部】:金港大厦(和燕路) 【武汉分部】:佳源大厦(高新二路) 【成都分部】:领馆区1号(中和大道) 【沈阳分部】:沈阳理工大学/六宅臻品 【郑州分部】:郑州大学/锦华大厦 【石家庄分部】:河北科技大学/瑞景大厦 【广州分部】:广粮大厦 【西安分部】:协同大厦
最近开课时间(周末班/连续班/晚班):即将开课,详情请咨询客服! |
实验设备 |
☆资深工程师授课
☆注重质量
☆边讲边练
☆合格学员免费推荐工作
★实验设备请点击这儿查看★ |
质量保障 |
1、培训过程中,如有部分内容理解不透或消化不好,可免费在以后培训班中重听;
2、课程完成后,授课老师留给学员手机和Email,保障培训效果,免费提供半年的技术支持。
3、培训合格学员可享受免费推荐就业机会。 |
课程大纲 |
一. 概述
随着Internet已经成为一个非常重要的基础平台,黑客们蠢蠢欲动,从网络安全和应用安全两个维度实施攻击。安全事件层出不穷。数据也显示,三分之二的站点都相当脆弱,易受攻击。本次课程围绕安全测试技术,通过设计安全测试用例及使用安全测试工具,迅速全面的查找安全漏洞。该课程还将深度分析主要安全漏洞的原理及安全防御建设思路。
二. 课程收益
通过实际案例和实际工具的操作练习,使参训人员掌握安全测试的技术、工具、原理及实施方法,并以安全测试为核心、掌握安全设计、安全编码、安全运营,形成安全防御的整套解决思路。即学即用。学员在学习过程中直接对自己的软件产品进行安全测试及疑难解答。
三. 培训
四. 安全测试过程(部分)示意图
五. 培训内容
知识单元 学习内容
网络安全与应用安全 1.什么是网络安全
2.网络安全的常见防御方法(IPS/IDS/防火墙)
3.软件应用安全现状及常见攻击方式
4.软件应用安全测试的方式及原理
5.安全测试的十大原则;
6.安全静态测试技术、安全动态测试技术
7.软件安全标准:安全规范、安全测试标准、安全编码标准、安全等级标准等
8.如何构建安全的防御体系
网络安全测试 1. 网络欺骗方式及防御测试(包括IP欺骗、源路由攻击、TCP会话劫持、ARP地址欺骗、电子邮件欺骗、DNS欺骗、中间人攻击等)
2. 网络嗅探的检测与防御
3. 端口扫描测试与技术
4. 拒绝服务攻击检测与防御
常见十大应用安全漏洞深度分析及防御测试方法 1.搭建攻击防御实例站点(实操测试工具)
2.十大应用安全漏洞攻击原理深度分析及对应测试方法、工具
(该部分随讲师一起练习测试工具及部分攻击方法):
Sql注入、XML注入的原理、防御、测试与测试工具(SQL Inject Me/Pangolin);
跨站脚本XSS的原理、防御、测试与测试工具(XSS Me
/Xelenium);
身份认证和会话管理不当的原理、防御、测试与测试工具(WebScrab);
不安全的对象直接引用的原理、防御、测试与测试工具(Burp);
跨站请求伪造CSRF的原理、防御、测试与测试工具(CSRFTester);
安全配置错误的原理、防御、测试与测试工具(watobo);
存储不安全的原理、防御、测试;
URL访问控制不当的原理、防御、测试与测试工具(nikto);
不安全的通信的原理、防御、测试与测试工具(Calomel);
未经认证的重定向和转发的原理、防御、测试与测试工具(Watcher);
综合性安全测试工具 1.深度了解APPSCAN:原理、攻击样本、使用方法、专家分析及解决方案使用、生成报告
2.Buresuite/ZAP,两个开源综合性安全测试工具的使用方法、原理及测试结果分析;
3、静态代码安全审计方法及工具详解:Lapse/fortify
4、安全测试工具发现的问题的归类及修改顺序、修改优先级
安全测试过程 1.测试计划
2.测试范围(漏洞范围、功能范围)
3.测试准备(人员、工具、环境、数据)
4.测试设计
5.测试执行
6.测试报告
7.测试后处理(bug/修复/评估/数据)
安全测试用例 1、OWASP安全测试指南;
2、深度详细讲解符合企业实际应用的7大类91个安全测试用例的设计与执行方法;
安全设计
安全编码
安全运营 1.安全设计主要关注点,从源头解决安全问题
2.安全编码方法、安全函数
3.建立安全运营机制及体系 |
|
|