模块名称

课程内容

总体简介

安全开发流程和安全编码的基本原则。

一、 输入数据安全

1. 输入即有害（sql原理详解及演示）

2. 输入数据的验证原则：A、输入数据的验证原则（前端绕过问题）B、编码的字符集问题（宽字节注入详解及演示）C、对所有来自用户的数据进行验证（二次注入详解及演示）

3. 数据的预处理

4. 验证数据内容：A、验证数据范围（SSRF攻击详解）B、验证数据长度（基于约束条件的SQL攻击详解及演示）C、 验证正确的数据类型（反序列化攻击详解）

5. 编写危险字符的处理流程

二、 输出数据验证

1. 输出编码（XSS跨站攻击详解及演示）

2. 错误信息必须进行净化（google hacking攻击）

3. 基于查询的输出净化（实体注入攻击详解）

4. 输出数据的净化问题（HTTP拆分攻击详解及演示

三、 编程与加密

1. hash的应用和弱点（HASH扩展攻击详解及演示）

2. 密码旁路攻击的危害（oracle padding攻击详解及演示）

四、 身份验证和密码管理

1. 身份验证的保护（验证码安全及基于验证码的爆破）

2. Owasp基于身份验证的流程建议（密码重置攻击详解）

3. 密码及密码管理规范

五、 访问控制管理

1. 授权用户管理和验证（越权攻击、基于逻辑漏洞的验证绕过、针对cookie的攻击）

2. 用户最小权限规则（各种因为权限处理不当造成的提权漏洞演示，兼谈WEB服务器中文件、目录的相应权限设置）

3. 用户权限的生命周期

六、 数据保护问题

1. 源代码安全

2. 日志与清理痕迹

3. 信息泄露漏洞，兼谈在安全中的个人安全意识问题

七、 文件管理

1. 文件的调用和包含（文件包含漏洞详解与演示）

2. 文件上传与文件解析（漏洞详解与演示）

3. 文件的验证白名单机制