| 主講老師: | 陳國星 |  |
| 課時安排: | 1天/6小時 | |
| 學習費用: | 面議 | |
| 課程預約: | 隋老師  (微信同號) |
|
| 課程簡介: | 互聯網,作為現代科技的杰出代表,已深刻改變著人們的生活方式。它如同一張巨大的信息之網,將全球各地的人們緊密相連。通過互聯網,我們可以隨時隨地獲取各種信息,無論是新聞、知識還是娛樂內容,都盡在指尖。同時,互聯網也為人們提供了便捷的溝通方式,無論是文字、語音還是視頻,都能輕松實現遠距離交流。此外,互聯網還催生了眾多新興行業,如電子商務、在線教育等,為人們創造了更多就業機會和便利。可以說,互聯網已經成為現代社會不可或缺的一部分,它將繼續引領著人類邁向更加美好的未來。 | |
| 內訓課程分類: | 綜合管理 | 人力資源 | 市場營銷 | 財務稅務 | 基層管理 | 中層管理 | 領導力 | 管理溝通 | 薪酬績效 | 企業文化 | 團隊管理 | 行政辦公 | 公司治理 | 股權激勵 | 生產管理 | 采購物流 | 項目管理 | 安全管理 | 質量管理 | 員工管理 | 班組管理 | 職業技能 | 互聯網+ | 新媒體 | TTT培訓 | 禮儀服務 | 商務談判 | 演講培訓 | 宏觀經濟 | 趨勢發展 | 金融資本 | 商業模式 | 戰略運營 | 法律風險 | 沙盤模擬 | 國企改革 | 鄉村振興 | 黨建培訓 | 保險培訓 | 銀行培訓 | 電信領域 | 房地產 | 國學智慧 | 心理學 | 情緒管理 | 時間管理 | 目標管理 | 客戶管理 | 店長培訓 | 新能源 | 數字化轉型 | 工業4.0 | 電力行業 | | |
| 更新時間: | 2024-03-08 12:05 |
【課程背景】
隨著互聯網時代的到來,企業的應用也逐步轉向互聯網,以互聯網形式開放給用戶進行使用?而互聯網帶來最大的問題就是安全問題,企業如何解決互聯網應用的安全問題?
本課程在主動的安全開發框架指導下,深入剖析軟件開發生命周期各階段的安全細節問題,理解協同構建安全系統的方法。并通過大量的動手實操和相關案例貫穿所有的理論知識,使學員熟練掌握代碼安全漏洞分析、編程規范、代碼質量問題分析、安全設計與防御常見問題及解決方法。
【課程收益】
? 學會分析軟件安全脆弱性產生的根源
? 展示多種攻擊軟件的手段、指出軟件開發過程中不同人員在設計和開發中常犯的錯誤
? 探討當前軟件安全界關注的熱點問題
? 總結和提高軟件質量和安全性的指導思想、開發策略、技術路線和實施方法
? 掌握代碼安全典型漏洞
? 安全漏洞攻防演練
? 掌握通用代碼編程規范
? 能夠對代碼進行質量問題分析
? 掌握項目的安全設計與防御
【課程對象】IT技術負責人、軟件架構師、系統分析師、資深開發人員、測試人員、信息技術安全部門的相關人員
【課程時間】2天
【課程大綱】
一、安全知識背景
1、安全基礎
? 當前企業面臨的安全態勢分析
? 安全分類
? Top 10安全問題分析
? 安全案例分析
2、常見的Web攻擊手段
二、服務器&瀏覽器安全
1、服務器安全
? 服務器分等級隔離部署策略
? 應用部署的目錄要求
? 服務器開放賬號最小特權權限
? 端口白名單開放策略
? 不同權限級別用戶增加額外訪問控制
? 公共配置存儲的安全
? 檢測指定web應用是否開放非必須的http方法
? http trace方法開放測試
? 關閉后臺調試信息
? 應用上傳路徑的安全監控
2、瀏覽器安全
? 瀏覽器廠商對安全的日漸重視
? 同源策略
? 瀏覽器沙箱
? 惡意網址攔截
? 基于瀏覽器自身安全機制的提升
三、常用安全漏洞的攻與防-客戶端安全
1、跨站腳本攻擊(XSS)
? 什么是XSS
? XSS為什么是一種熱門攻擊手段
? XSS Payload的定義
? cookie劫持
? XSS釣魚
? 常見的CSS攻擊平臺
? XSS Worm
? XSS構造技巧
? 如何防御XSS
實戰:XSS攻擊與防范實戰
2、跨站請求偽造(CSRF)
? CSRF定義
? CSRF可以做什么
? CSRF漏洞現狀
? CSRF的攻擊原理
? 如何防御CSRF
? CSRF與XSS的比較
實戰:CSRF修改用戶密碼以及防范措施
3、釣魚攻擊
? 什么是釣魚攻擊
? 釣魚攻擊的一般步驟
? 目前釣魚攻擊的調查報告統計
? 釣魚攻擊有哪些常見的方法
案例:釣魚攻擊
4、點擊劫持
? 點擊劫持的定義
? 常見的點擊劫持分類
5、HTML5安全
? Iframe sandbox機制
? Canvas
? PostMessage跨窗口消息傳遞
? WebStorage本地存儲
案例:Noreferer問題演示與防范
四、常用安全漏洞的攻與防-服務端安全
1、SQL注入
? SQL注入定義
? SQL注入目的
? 常用的SQL注入語句
? SQL注入方式
? 注入思路分析
? SQL盲注與一般SQL注入的區別
? 如何防御SQL注入
實戰:SQL注入攻擊與防范實戰
2、文件上傳和下載漏洞
? 文件上傳漏洞的定義
? 因文件上傳漏洞所帶來的安全問題
? 必須具備的條件
? 文件上傳漏洞包括哪些類型
? 如何防御文件上傳漏洞
實戰:文件上傳和下載漏洞注入攻擊與防范實戰
3、認證與會話管理
? 認證與授權的定義
? 認證分類
? 密碼認證的優缺點
? 密碼設計應遵循的原則
? 密碼出錯策略設置
? 密碼輸入框的密文顯示
? 密碼的加密存儲
? 密碼的加密傳輸
? 初始化口令的要求
? 驗證碼的安全使用
? 認證處理模塊的合法性校驗及認證結果返回要求
? 關鍵事務處理的多級認證和強身份認證
? 會話重寫
? 用戶賬號的鎖定策略
? Session機制詳解
? Session常用的攻擊漏洞
? 獲取sessionid的兩種手段
? 注銷時會話清除
? 單點登錄
? 如何進行認證測試
? 不安全的數據傳輸
? 服務端業務處理的流程順序限制
案例:Session劫持與防范
4、訪問控制
? 不安全對象的引用
? 功能級的訪問必須經過認證和鑒權
? 認證和鑒權必須在服務器端處理
? 采用最小化權限控制策略
? 應用程序運行賬號和數據庫連接賬號的分離以及最小職權原則
? 操作系統文件的權限控制策略
? 訪問控制的分類
? 垂直權限管理
? 水平權限管理
5、安全配置錯誤
? 安全配置的定義
? 因安全配置錯誤引發的安全問題
? 如何防御安全配置錯誤引發的安全問題
案例:文件目錄的安全問題
6、使用含有已知漏洞的組件
? 描述
? 所帶來的危害
? 解決辦法
7、未驗證的重定向和轉發
? 案例
? 解決辦法
8、敏感信息泄露
? 敏感信息的定義
? 敏感信息的危害
? 敏感信息的案例
? 如何解決敏感信息泄露引發的問題
? 如何進行敏感信息泄露的測試
? 代碼中的敏感數據
? 禁止明文存儲密鑰和口令
? 禁止cookie中存儲明文形式敏感數據
? 安全的加密算法推薦
? 日志中敏感數據存儲
? 敏感數據禁止緩存到頁面
? 敏感數據表單提交規則
? 使用帶證書的SSL
? 禁止URL中攜帶敏感信息
9、拒絕服務攻擊
? 網絡層的拒絕服務攻擊
? 應用層的拒絕服務攻擊
? 如何防范應用層的拒絕服務攻擊
10、安全審計
? 安全事件和操作事件的記錄
? 安全日志的訪問權限控制
? 安全日志的分析
京公網安備 11011502001314號
