软件设计人员、开发人员和测试人员

时间地点：北京 3月31-4月1日 （上海 深圳 根据报名开班 ）

课程费用：1900元/人（原价4000元/人）

培训对象： 软件设计人员、开发人员和测试人员

学员基础： 至少2年以上系统维护、管理经验。有实际项目经验。

课程背景：

很多关键业务都是通过web网站提供互联网服务，而互联网的公开性也造成了网站很容易受到攻击，如何建立web应用安全，已经成为web应用的最关键质量。本课程适应大家的迫切需求，提供web应用安全的整体解决方案。

授课方式： 定制课程 + 案例讲解 + 小组讨论，60%案例讲解，40%实践演练

课程大纲：

安全意识

安全相关案例解读

黑客组织：窃取Sun电子邮件 存储在中国境内

SSL系统遭入侵发布虚假密钥

RSA高管呼吁采用新的信息安全方法

Oracle周二将发布批量补丁 影响数百款产品

微软高信度计算

案例讨论：2010 最突出的10项安全漏洞

安全原理：威胁建模

标识资源（敏感数据）

创建总体体系结构

分解应用程序标识特权代码

识别威胁

记录威胁

评价威胁

练习：对“网银”系统进行威胁建模

如何检查web应用漏洞

常见的操作系统漏洞和检查方法

常见的数据库漏洞和检查方法

Web服务漏洞和检查方法

网络通信漏洞和检查方法

配置文件漏洞和检查方法

其他资源漏洞和检查方法

常见攻击工具 Mpack

Neosploit

ZeuS

Nukesploit P4ck

Phoenix

常见安全检查工具 IBM Rational AppScan

WebInspect

NStalker-WAS

Acunetix Web Vulnerability Scanner

练习：使用AppScan检查WEB应用安全漏洞

基础技能

加密解密

散列原理与算法

基于证书的签名与加密

访问权限列表（ACL）

安全协议：SSL，IPSec，Kerberos协议

网络威胁与对策

网络组件：路由器、防火墙和交换机

信息收集

探查

欺骗

会话劫持

中间人攻击

练习：使用网络探测器

主机威胁与对策 病毒、特洛伊木马和蠕虫

信息收集

破解密码

拒绝服务

任意执行代码

未授权访问

讨论：红色代码病毒及其危害

WEB应用常见威胁及其对策

输入验证: 缓冲区溢出攻击

跨站点脚本编写

SQL注入攻击

标准化漏洞

身份验证相关的威胁及其对策

针对授权的威胁及其对策

针对配置管理的威胁及对策

安全的加密

对抗针对操作查询字符串的威胁

异常处理

练习：针对“网银系统”漏洞发起相关攻击

进行安全审计 使用日志跟踪安全相关事件

将日志写入文件/数据库

使用系统安全日志

做好开发层次安全

代码访问安全

用户验证

输入检查

应用安全规则进行静态代码安全隐患分析

线程安全

针对URL授权

序列化/反序列化安全

代码混淆

练习：1）使用代码混淆器

2）针对“网银系统”漏洞继续发起攻击；

3）应用安全规则自查

培养安全意识 建立安全管理和开发、维护规范

及时发现安全事件

按照合理的流程处理安全问题

把安全降低到最小影响

讲师资质：

UML软件工程组织技术专家。

软件技术顾问、资深讲师。

从事过10年以上相关实际工作，曾在著名IT企业就职，具备丰富的实践经验。

在多个大中型项目中成功实施了相关的工程技术实践，具备真实有效的能力，而不仅仅是“名气”。

具备深厚的理论功底，进行过专业系统化研究与学习。

丰富的授课经验，为多家大型企业授课，获得了客户的高度评价。

丰富的咨询经验，为多家企业客户咨询。

能够结合学员的需求，有效地讲授理论和实践经验，带领学员进行具体的实践演练。