班级规模及环境--热线:4008699035 手机:15921673576( 微信同号) |
每期人数限3到5人。 |
上课时间和地点 |
上课地点:【上海】:同济大学(沪西)/新城金郡商务楼(11号线白银路站) 【深圳分部】:电影大厦(地铁一号线大剧院站)/深圳大学成教院 【北京分部】:北京中山学院/福鑫大楼 【南京分部】:金港大厦(和燕路) 【武汉分部】:佳源大厦(高新二路) 【成都分部】:领馆区1号(中和大道) 【沈阳分部】:沈阳理工大学/六宅臻品 【郑州分部】:郑州大学/锦华大厦 【石家庄分部】:河北科技大学/瑞景大厦 【广州分部】:广粮大厦 【西安分部】:协同大厦
最近开课时间(周末班/连续班/晚班):2020年3月16日 |
实验设备 |
☆资深工程师授课
☆注重质量
☆边讲边练
☆合格学员免费推荐工作
★实验设备请点击这儿查看★ |
质量保障 |
1、培训过程中,如有部分内容理解不透或消化不好,可免费在以后培训班中重听;
2、培训结束后,授课老师留给学员联系方式,保障培训效果,免费提供课后技术支持。
3、培训合格学员可享受免费推荐就业机会。 |
课程大纲 |
一、 课程背景
AppScan是一款领先的应用安全测试套件, 旨在测试整个软件开发生命周期中可能出现的安全漏洞。它是web应用程序渗透测试舞台上使用最广泛的工具之一.它有助于专业安全人员进行Web应用程序自动化脆弱性评估。通过本次培训帮助学员提高理论认识水平,掌握AppScan高级使用技巧。
二、 培训收益
通过本课程,您可以掌握以下:
1. 掌握安全测试的基本概念;
2. Web网站的常见攻击方式及其原理;
3. Web网站的安全规划、需求、开发过程;
4. Web网站的安全检测、审计与工具;
5. Web网站的安全日常监控与策略;
6. 数据的安全传输、安全保存技术与方法;
7. Web网站相关安全配置策略;
8. 如何建立端到端安全防御体系;
9. 了解安全测试原理;
10. 了解常见软件安全漏洞与攻击;
11. 掌握IBM AppScan工具使用;
12. 掌握IBM AppScan结果分析与报告编写。
三、 培训大纲
日程 培训模块 培训内容
安全测试概述与Web安全 1. 什么是安全测试;
2. 安全测试的目的;
3. 安全测试的流程;
4. 发现安全漏洞;
5. Web网站的典型攻击手段及原理;
6. Web安全事件及启示;
7. 七层与协议漏洞;
8. Http协议的特点及安全威胁;
9. 安全静态技术、安全动态技术;
10. 软件安全标准:安全规范、安全测试标准、安全编码标准;
11. 认证、会话与授权;
12. Web架构的安全性剖析;
13. Web应用的安全性剖析;
14. 应用安全与网络安全(常见网络攻击);
15. 常见网络安全攻击方法与防御(例如阻塞攻击、Ddos攻击);
常见软件安全漏洞与攻击 1. Sql注入、XML注入的原理与设计;
2. 跨站脚本XSS的原理原理与设计;木马如何发送与劫持?
3. 身份认证和会话管理不当;
4. 不安全的对象直接引用的原理;
5. 跨站请求伪造CSRF的原理与设计;
6. 配置不当导致的安全漏洞;
7. 存储不安全导致的数据灾难
8. URL访问控制不当导致的安全;
9. 不安全的通信与传输;
10. 未经认证的重定向和转发导致的安全漏洞;
安全漏洞的架构与开发防御设计、测试 1. Sql注入、XML注入的防御(架构、设计、开发与测试);
2. 跨站脚本XSS的防御(架构、设计、开发与测试);
3. 身份认证和会话管理不当的防御(架构、设计、开发与测试);
4. 不安全的对象直接引用的防御(架构、设计、开发与测试);
5. 跨站请求伪造CSRF的防御(架构、设计、开发与测试);
6. 配置不当导致的安全漏洞的防御(架构、设计、开发与测试);
7. 存储不安全,数据如何存储,如何加密?
8. URL访问控制不当的防御(架构、设计、开发与测试);
9. 不安全的通信与传输,如何进行数据加密传输与应用场景;
10. 未经认证的重定向和转发的防御(架构、设计、开发与测试);
Appscan工具 1. 工具介绍;
2. 扫描原理;
3. 工作流程;
4. 系统需求;
5. 安装过程;
6. 许可证安装;
7. 简单的运行安全测试。
安全审计、监控与安全测试工具 1. 深度了解APPSCAN:原理、攻击样本、使用方法、专家分析及解决方案使用、生成报告
2. Buresuite/ZAP,两个开源综合性安全测试工具的使用方法、原理及测试结果分析;
3. 静态代码安全审计方法及工具详解:Lapse/fortify安全测试工具发现的问题的归类及修改顺序、修改优先级
安全体系建设及
AppScan结果分析与报告编写 1. 安全架构思路与方法
2. 设计主要关注点,从源头解决安全问题
3. 安全编码方法、安全函数
4. 建立安全运营机制及体系
5. 系统安全的日常监控工具与方法
6. 安全攻击后的数据恢复与灾备策略
7. 安全攻击时的应急策略
8. 通过案例说明如何进行结果分析;
9. 针对使用AppScan及分析过程如何编写测试报告。 |
|
|