Print

安全测试&性能测试最佳实践

主办单位:中培网   中培管理咨询

时间地点:2016-10-22至2016-10-24 在 上海

学员对象:测试工程师、质量管理等

费  用: 4500元

【培训对象】

测试工程师、质量管理等

【课程收益】

【课程大纲】

课程收益:

第一部分安全测试通过实际案例和实际工具的操作练习,使参训人员掌握安全测试的技术、工具、原理及实施方法,并以安全测试为核心、掌握安全设计、安全编码、安全运营,形成安全防御的整套解决思路。即学即用。学员在学习过程中直接对自己的软件产品进行安全测试及疑难解答。

第二部分性能测试以实例练习为主线,能达到即学即用的效果。通过该课程可以掌握:

1、 软件系统的性能模型设计及性能标准;

2、 性能测试执行过程与执行方法;

3、性能测试的结果分析与问题定位、性能瓶颈;

4、掌握端到端分层(接入层/逻辑层/数据层)的性能调优与改善方法;

课程大纲:

第一大模块: 安全测试(偏初中级,较系统全面)

知识单元 学习内容

网络安全与应用安全 1.什么是网络安全

2.网络安全的常见防御方法(IPS/IDS/防火墙)

3.软件应用安全现状及常见攻击方式

4.软件应用安全测试的方式及原理

5.安全测试的十大原则;

6.安全静态测试技术、安全动态测试技术

7.软件安全标准:安全规范、安全测试标准、安全编码标准、安全等级标准等

8.如何构建安全的防御体系

网络安全测试 1. 网络欺骗方式及防御测试(包括IP欺骗、源路由攻击、TCP会话劫持、ARP地址欺骗、电子邮件欺骗、DNS欺骗、中间人攻击等)

2. 网络嗅探的检测与防御

3. 端口扫描测试与技术

4. 拒绝服务攻击检测与防御

常见十大应用安全漏洞深度分析及防御测试方法 1.搭建攻击防御实例站点(实操测试工具)

2.十大应用安全漏洞攻击原理深度分析及对应测试方法、工具

(该部分随讲师一起练习测试工具及部分攻击方法):

 Sql注入、注入的原理、防御、测试与测试工具(SQL Inject Me/Pangolin);

  跨站脚本XSS的原理、防御、测试与测试工具(XSS Me

 /Xelenium);

  身份认证和会话管理不当的原理、防御、测试与测试工具(WebScrab);

  不安全的对象直接引用的原理、防御、测试与测试工具(Burp);

  跨站请求伪造CSRF的原理、防御、测试与测试工具(CSRFTester);

  安全配置错误的原理、防御、测试与测试工具(watobo);

  存储不安全的原理、防御、测试;

  URL访问控制不当的原理、防御、测试与测试工具(nikto);

  不安全的通信的原理、防御、测试与测试工具(Calomel);

  未经认证的重定向和转发的原理、防御、测试与测试工具(Watcher);

综合性安全测试工具 1.深度了解APPSCAN:原理、攻击样本、使用方法、专家分析及解决方案使用、生成报告

2.Buresuite/ZAP,两个开源综合性安全测试工具的使用方法、原理及测试结果分析;

3、静态代码安全审计方法及工具详解:Lapse/fortify

4、安全测试工具发现的问题的归类及修改顺序、修改优先级

安全测试过程 1.测试计划

2.测试范围(漏洞范围、功能范围)

3.测试准备(人员、工具、环境、数据)

4.测试设计

5.测试执行

6.测试报告

7.测试后处理(bug/修复/评估/数据)

安全测试用例 1、OWASP安全测试指南;

2、深度详细讲解符合企业实际应用的7大类91个安全测试用例的设计与执行方法;

安全设计

安全编码

安全运营 1.安全设计主要关注点,从源头解决安全问题

2.安全编码方法、安全函数

3.建立安全运营机制及体系

第二大模块性能测试(偏高级,主要侧重在性能监控、诊断、调优、实战)

知识单元 学习内容

性能测试原理与方法 1. 性能测试原理与方法

 性能测试基础

 性能指标设置与标准

 性能模型设计与管理(重点)

 性能测试环境分析与管理

性能测试工具与执行 2. 性能测试工具

 掌握性能测试执行工具loadrunner:

1)脚本录制及调试;

2) socket/webservice/java/C /数据库操作等协议脚本模板的设计与使用;;

3) 掌握通过测试工具完成性能测试整个过程;

性能监控与问题诊断

3、性能监控与问题诊断

 掌握处理Loadrunner/jmeter的结果分析图表:包括各种图表,合并或分拆图表,分析及确认图表要素等;掌握通过分析性能测试结果,确定问题定位;

 掌握获取应用分析结果图、数据库结果图awr/ash等;

 通过loadrunner图表进行初步问题定位分析实战

 掌握各环节性能监控方法:

1) 操作系统全方位监控策略与方法:CPU/内存/IO/进程的监控及指标;

2) 应用的全方位监控策略与方法:应用进程/应用处理的时间/容器的监控及方法/应用挂死、内存泄漏监控方法;

3) 数据库全方位监控及方法:实时数据库监控指标/数据库awr与ash获取及分析;

4) 网络/防火墙/负载均衡监控方法;

性能调优 4、性能调优

 界面层、逻辑层、数据层调优方法:常见前台的19条性能分析与调优;

 代码级调优方法;

 操作系统、应用、数据库、网络的最优化配置;weblogic最优化配置;

 调优分析工具:

 讲解web性能测试辅助工具Httpwatch/IeAnlyzer,掌握通过辅助工具快速定位页面元素的快慢及执行效率;

 讲解web性能测试辅助工具Sieve,掌握通过该工具简单快速的定位内存泄漏代码;

 讲解web性能测试辅助工具spotlight,掌握通过该工具快速实施主机资源监控与预警;

 讲解性能诊断辅助工具Jprofile,通过对代码的深度分析,定位程序执行效率;

 讲解性能诊断分析工具Yslow,探索Web类型的性能瓶颈及优化方向;

 讲解性能诊断分析工具Dynatrace,更直观侦测界面渲染、分段时间及关联关系;

最佳实践 1、性能测试工具的高级实践探索

2、业界主流厂商性能测试的现状及探讨

培训师介绍:

刘老师,软件开发与测试专家,业界评为软件开发测试第一人,以深厚的工具与项目实战经验为讲授特色。15年丰富的软件开发、测试、持续集成与软件安全经验,其中多年华为技术、神州数码等公司任职技术总监经历。熟悉基于CMMI、RUP、敏捷的开发测试与软件质量、持续集成、软件安全技术,擅长开发与设计过程建设(架构与设计重构、编码技巧与质量、研发过程管理、软件质量管理、软件安全)、搭建完善的测试端到端体系(自动化测试、性能测试、安全测试、测试工具与自动化),超过10家特大企业的特聘咨询顾问,超过30个大项项目(千万元级以上)的开发设计、测试与质量、软件安全实践经验,超过100家大型企业授课经验。

【讲师介绍】

        ▓▓▓▓▓▓▓▓▓ (此表复制有效)▓▓▓▓▓▓▓▓

                                    传真至:020-62355807

 

我单位共___ 人报名参加 2016-10-22至2016-10-24上海 举办的 安全测试&性能测试最佳实践

 

单位名称:______________________________________

 

培训联系人:_________ 联系电话:_________ 联系传真:________

 

移动电话:____________ 电子邮箱:__________________

 

参加人数:____ 费用总计:______

 

人:________ 所任职务:__________ 移动电话:_________

 

人:________ 所任职务:__________ 移动电话:_________

 

人:________ 所任职务:__________ 移动电话:_________

══════════════════════════════════════════

广州电话:(0203997189362355796              传真号码:(02062355807

人:赵小姐、张先生                   报名邮箱: 317709971@QQ.COM

参会方式:请您把培训回执表填写好回传,课前一星期您将会收到传真函,包括培训注意事项及详细安排

文档生成:http://www.chinacpx.com/word/<%=wsid%>.doc