WEB安全测试方法、工具与实践
主办单位:上海普瑞思管理咨询有限公司 上海创卓商务咨询有限公司
日期地址:2013年10月19-20日 北京
培训费用:5000元/人(含培训费、资料费、午餐费及茶点等)
课程背景
建立web应用安全,已经成为web应用的最关键质量,而安全测试,是有效的问题预见方法。在本课程中,学员们通过现场观看安全漏洞攻击过程,了解安全漏洞的危害,并能够独立通过安全测试工具发现常见的WEB安全漏洞。并能够指导开发、或独立完成漏洞的修复。通过了解安全测试工具开发方法,可以实践符合自己环境要求的安全测试工具、平台。
培训目标:
本课程结合典型的安全危机事件实例,让学员全面了解安全相关的理论、技术和工具。包括:
了解安全开发生命周期。
了解安全测试的范围、目标。
深入掌握常见的安全漏洞的测试方法
掌握常见安全测试工具的使用方法
通过掌握安全测试方法后,了解漏洞攻击监控思路。
授课方式: 定制课程 + 案例讲解 + 小组讨论,60%案例讲解,40%实践演练
课程大纲
安全大事件回顾与思考 安全真实案例回顾与讨论
安全都涉及什么
如何来预防安全事故
安全测试的目标和范围
安全原理:威胁建模 标识资源(敏感数据)
创建总体体系结构
分解应用程序标识特权代码
识别威胁
记录威胁
评价威胁
web安全需求分析 列出网站资源:业务数据,应用程序,服务,配置数据,页面
建立资源分布图,确定资源位置
确定资源信任边界
确定资源授权范围
建立资源防范目录
web应用漏洞及检测方法 常见的操作系统漏洞和检查方法
常见的数据库漏洞和检查方法
Web服务漏洞和检查方法
网络通信漏洞和检查方法
配置文件漏洞和检查方法
其他资源漏洞和检查方法
设计安全测试用例 确定安全测试点
预见可能的入侵事件
分析入侵事件的触发条件,
设计测试用例
常见攻击工具 Mpack
Neosploit
ZeuS
Nukesploit P4ck
Phoenix
常见安全检查工具 IBM Rational AppScan
WebInspect
NStalker-WAS
Acunetix Web Vulnerability Scanner
网络威胁检测 网络组件:路由器、防火墙和交换机
信息收集
探查
欺骗
会话劫持
中间人攻击
安全检测 病毒、特洛伊木马和蠕虫
信息收集
破解密码
拒绝服务
任意执行代码
未授权访问
WEB应用常见威胁及其对策 输入验证: 缓冲区溢出攻击
跨站点脚本编写
SQL注入攻击
标准化漏洞
身份验证相关的威胁及其对策
针对授权的威胁及其对策
针对配置管理的威胁及对策
安全的加密
对抗针对操作
异常处理
进行安全审计 使用日志跟踪安全相关事件
将日志写入文件/数据库
使用系统安全日志
课程特点:
1、理论与实践相结合,解决你的实际问题。
2、真实案例的剖析,深入浅出的讲解,使你能学以致用。
讲师资质: Allen
曾任阿里巴巴安全测试高级工程师,具有多年专业的安全测试经验
UML软件工程组织技术专家。
软件技术顾问、资深讲师。
从事过10年以上相关实际工作,曾在著名IT企业就职,具备丰富的实践经验。
在多个大中型项目中成功实施了相关的工程技术实践,具备真实有效的能力,而不仅仅是“名气”。
具备深厚的理论功底,进行过专业系统化研究与学习。
丰富的授课经验,为多家大型企业授课,获得了客户的高度评价。
丰富的咨询经验,为多家企业客户咨询。
能够结合学员的需求,有效地讲授理论和实践经验,带领学员进行具体的实践演练。
在线报名