培训目标:
- 了解安全开发生命周期。
- 了解安全测试的范围、目标。
- 深入掌握常见的安全漏洞的测试方法
- 掌握常见安全测试工具的使用方法
- 通过掌握安全测试方法后,了解漏洞攻击监控思路。
培训内容:
| 安全大事件回顾与思考 |
- 安全真实案例回顾与讨论
- 安全都涉及什么
- 如何来预防安全事故
- 安全测试的目标和范围
|
| 安全原理:威胁建模 |
- 标识资源(敏感数据)
- 创建总体体系结构
- 分解应用程序标识特权代码
- 识别威胁
- 记录威胁
- 评价威胁
|
| web安全需求分析 |
- 列出网站资源:业务数据,应用程序,服务,配置数据,页面
- 建立资源分布图,确定资源位置
- 确定资源信任边界
- 确定资源授权范围
- 建立资源防范目录
|
| web应用漏洞及检测方法 |
- 常见的操作系统漏洞和检查方法
- 常见的数据库漏洞和检查方法
- Web服务漏洞和检查方法
- 网络通信漏洞和检查方法
- 配置文件漏洞和检查方法
- 其他资源漏洞和检查方法
|
| 设计安全测试用例 |
- 确定安全测试点
- 预见可能的入侵事件
- 分析入侵事件的触发条件,
- 设计测试用例
|
| 常见攻击工具 |
- Mpack
- Neosploit
- ZeuS
- Nukesploit P4ck
- Phoenix
|
| 常见安全检查工具 |
- IBM Rational AppScan
- WebInspect
- NStalker-WAS
- Acunetix Web Vulnerability Scanner
|
| 网络威胁检测 |
- 网络组件:路由器、防火墙和交换机
- 信息收集
- 探查
- 欺骗
- 会话劫持
- 中间人攻击
|
| 安全检测 |
- 病毒、特洛伊木马和蠕虫
- 信息收集
- 破解密码
- 拒绝服务
- 任意执行代码
- 未授权访问
|
| WEB应用常见威胁及其对策 |
- 输入验证: 缓冲区溢出攻击
- 跨站点脚本编写
- SQL注入攻击
- 标准化漏洞
- 身份验证相关的威胁及其对策
- 针对授权的威胁及其对策
- 针对配置管理的威胁及对策
- 安全的加密
- 对抗针对操作
- 异常处理
|
| 进行安全审计 |
- 使用日志跟踪安全相关事件
- 将日志写入文件/数据库
- 使用系统安全日志
|
如果您想学习本课程,请
预约报名
如果没找到合适的课程或有特殊培训需求,请
订制培训
除培训外,同时提供相关技术咨询与技术支持服务,有需求请发需求表到邮箱soft@info-soft.cn,或致电4007991916
技术服务需求表点击在线申请
服务特点:
海量专家资源,精准匹配相关行业,相关项目专家,针对实际需求,顾问式咨询,互动式授课,案例教学,小班授课,实际项目演示,快捷高效,省时省力省钱。
专家力量:
中国科学院软件研究所,计算研究所高级研究人员
oracle,微软,vmware,MSC,Ansys,candence,Altium,达索等大型公司高级工程师,项目经理,技术支持专家
中科信软培训中心,资深专家或讲师
大多名牌大学,硕士以上学历,相关技术专业,理论素养丰富
多年实际项目经历,大型项目实战案例,热情,乐于技术分享
针对客户实际需求,案例教学,互动式沟通,学有所获
