 班級規(guī)模及環(huán)境--熱線:4008699035 手機:15921673576( 微信同號) |
|
每期人數(shù)限3到5人。 |
| 上課時間和地點 |
上課地點:【上海】:同濟大學(滬西)/新城金郡商務(wù)樓(11號線白銀路站) 【深圳分部】:電影大廈(地鐵一號線大劇院站)/深圳大學成教院 【北京分部】:北京中山學院/福鑫大樓 【南京分部】:金港大廈(和燕路) 【武漢分部】:佳源大廈(高新二路) 【成都分部】:領(lǐng)館區(qū)1號(中和大道) 【沈陽分部】:沈陽理工大學/六宅臻品 【鄭州分部】:鄭州大學/錦華大廈 【石家莊分部】:河北科技大學/瑞景大廈 【廣州分部】:廣糧大廈 【西安分部】:協(xié)同大廈
最近開課時間(周末班/連續(xù)班/晚班):2020年3月16日 |
| 實驗設(shè)備 |
☆資深工程師授課
☆注重質(zhì)量
☆邊講邊練
☆合格學員免費推薦工作
★實驗設(shè)備請點擊這兒查看★ |
| 質(zhì)量保障 |
1、培訓過程中,如有部分內(nèi)容理解不透或消化不好,可免費在以后培訓班中重聽;
2、培訓結(jié)束后,授課老師留給學員聯(lián)系方式,保障培訓效果,免費提供課后技術(shù)支持。
3、培訓合格學員可享受免費推薦就業(yè)機會。 |
課程大綱 |
一、 課程背景
AppScan是一款領(lǐng)先的應(yīng)用安全測試套件, 旨在測試整個軟件開發(fā)生命周期中可能出現(xiàn)的安全漏洞。它是web應(yīng)用程序滲透測試舞臺上使用最廣泛的工具之一.它有助于專業(yè)安全人員進行Web應(yīng)用程序自動化脆弱性評估。通過本次培訓幫助學員提高理論認識水平,掌握AppScan高級使用技巧。
二、 培訓收益
通過本課程,您可以掌握以下:
1. 掌握安全測試的基本概念;
2. Web網(wǎng)站的常見攻擊方式及其原理;
3. Web網(wǎng)站的安全規(guī)劃、需求、開發(fā)過程;
4. Web網(wǎng)站的安全檢測、審計與工具;
5. Web網(wǎng)站的安全日常監(jiān)控與策略;
6. 數(shù)據(jù)的安全傳輸、安全保存技術(shù)與方法;
7. Web網(wǎng)站相關(guān)安全配置策略;
8. 如何建立端到端安全防御體系;
9. 了解安全測試原理;
10. 了解常見軟件安全漏洞與攻擊;
11. 掌握IBM AppScan工具使用;
12. 掌握IBM AppScan結(jié)果分析與報告編寫。
三、 培訓大綱
日程 培訓模塊 培訓內(nèi)容
安全測試概述與Web安全 1. 什么是安全測試;
2. 安全測試的目的;
3. 安全測試的流程;
4. 發(fā)現(xiàn)安全漏洞;
5. Web網(wǎng)站的典型攻擊手段及原理;
6. Web安全事件及啟示;
7. 七層與協(xié)議漏洞;
8. Http協(xié)議的特點及安全威脅;
9. 安全靜態(tài)技術(shù)、安全動態(tài)技術(shù);
10. 軟件安全標準:安全規(guī)范、安全測試標準、安全編碼標準;
11. 認證、會話與授權(quán);
12. Web架構(gòu)的安全性剖析;
13. Web應(yīng)用的安全性剖析;
14. 應(yīng)用安全與網(wǎng)絡(luò)安全(常見網(wǎng)絡(luò)攻擊);
15. 常見網(wǎng)絡(luò)安全攻擊方法與防御(例如阻塞攻擊、Ddos攻擊);
常見軟件安全漏洞與攻擊 1. Sql注入、XML注入的原理與設(shè)計;
2. 跨站腳本XSS的原理原理與設(shè)計;木馬如何發(fā)送與劫持?
3. 身份認證和會話管理不當;
4. 不安全的對象直接引用的原理;
5. 跨站請求偽造CSRF的原理與設(shè)計;
6. 配置不當導致的安全漏洞;
7. 存儲不安全導致的數(shù)據(jù)災(zāi)難
8. URL訪問控制不當導致的安全;
9. 不安全的通信與傳輸;
10. 未經(jīng)認證的重定向和轉(zhuǎn)發(fā)導致的安全漏洞;
安全漏洞的架構(gòu)與開發(fā)防御設(shè)計、測試 1. Sql注入、XML注入的防御(架構(gòu)、設(shè)計、開發(fā)與測試);
2. 跨站腳本XSS的防御(架構(gòu)、設(shè)計、開發(fā)與測試);
3. 身份認證和會話管理不當?shù)姆烙軜?gòu)、設(shè)計、開發(fā)與測試);
4. 不安全的對象直接引用的防御(架構(gòu)、設(shè)計、開發(fā)與測試);
5. 跨站請求偽造CSRF的防御(架構(gòu)、設(shè)計、開發(fā)與測試);
6. 配置不當導致的安全漏洞的防御(架構(gòu)、設(shè)計、開發(fā)與測試);
7. 存儲不安全,數(shù)據(jù)如何存儲,如何加密?
8. URL訪問控制不當?shù)姆烙軜?gòu)、設(shè)計、開發(fā)與測試);
9. 不安全的通信與傳輸,如何進行數(shù)據(jù)加密傳輸與應(yīng)用場景;
10. 未經(jīng)認證的重定向和轉(zhuǎn)發(fā)的防御(架構(gòu)、設(shè)計、開發(fā)與測試);
Appscan工具 1. 工具介紹;
2. 掃描原理;
3. 工作流程;
4. 系統(tǒng)需求;
5. 安裝過程;
6. 許可證安裝;
7. 簡單的運行安全測試。
安全審計、監(jiān)控與安全測試工具 1. 深度了解APPSCAN:原理、攻擊樣本、使用方法、專家分析及解決方案使用、生成報告
2. Buresuite/ZAP,兩個開源綜合性安全測試工具的使用方法、原理及測試結(jié)果分析;
3. 靜態(tài)代碼安全審計方法及工具詳解:Lapse/fortify安全測試工具發(fā)現(xiàn)的問題的歸類及修改順序、修改優(yōu)先級
安全體系建設(shè)及
AppScan結(jié)果分析與報告編寫 1. 安全架構(gòu)思路與方法
2. 設(shè)計主要關(guān)注點,從源頭解決安全問題
3. 安全編碼方法、安全函數(shù)
4. 建立安全運營機制及體系
5. 系統(tǒng)安全的日常監(jiān)控工具與方法
6. 安全攻擊后的數(shù)據(jù)恢復與災(zāi)備策略
7. 安全攻擊時的應(yīng)急策略
8. 通過案例說明如何進行結(jié)果分析;
9. 針對使用AppScan及分析過程如何編寫測試報告。 |
|
|
首頁 課程表 在線聊 報名 講師 品牌 QQ聊 活動 就業(yè)
