培训模块
|
学习内容/知识点
|
网络安全与Web应用安全
|
1.什么是网络安全
2.网络安全的常见防御方法(IPS/IDS/防火墙)
3.软件应用安全现状及常见攻击方式
4.软件应用安全测试的方式及原理
5.安全测试的十大原则;
6.安全静态测试技术、安全动态测试技术
7.软件安全标准:安全规范、安全测试标准、安全编码标准、安全等级标准等
8.如何构建安全的防御体系
|
常见十大Web应用安全漏洞深度分析及渗透测试方法
|
1.搭建攻击防御实例站点(实操测试工具)
2.十大应用安全漏洞攻击原理深度分析及对应测试方法、工具
(该部分随讲师一起练习测试工具及部分攻击方法):
-
Sql注入、XML注入的原理、防御、测试与测试工具(SQL Inject Me/Pangolin);
-
跨站脚本XSS的原理、防御、测试与测试工具(XSS Me
-
/Xelenium);
-
身份认证和会话管理不当的原理、防御、测试与测试工具(WebScrab);
-
不安全的对象直接引用的原理、防御、测试与测试工具(Burp);
-
跨站请求伪造CSRF的原理、防御、测试与测试工具(CSRFTester);
-
安全配置错误的原理、防御、测试与测试工具(watobo);
-
存储不安全的原理、防御、测试;
-
URL访问控制不当的原理、防御、测试与测试工具(nikto);
-
不安全的通信的原理、防御、测试与测试工具(Calomel);
-
未经认证的重定向和转发的原理、防御、测试与测试工具(Watcher);
|
综合性安全渗透测试工具
|
1.深度了解APPSCAN:原理、攻击样本、使用方法、专家分析及解决方案使用、生成报告
2.Buresuite/ZAP,两个开源综合性安全测试工具的使用方法、原理及测试结果分析;
3、静态代码安全审计方法及工具详解:Lapse/fortify
4、安全测试工具发现的问题的归类及修改顺序、修改优先级
|
渗透测试过程
|
1.测试计划
2.测试范围(漏洞范围、功能范围)
3.测试准备(人员、工具、环境、数据)
4.测试设计
5.测试执行
6.测试报告
7.测试后处理(bug/修复/评估/数据)
|
渗透测试用例
|
1、OWASP安全测试指南;
2、深度详细讲解符合企业实际应用的7大类91个安全测试用例的设计与执行方法;
|
安全设计
安全编码
安全运营
|
1.安全设计主要关注点,从源头解决安全问题
2.安全编码方法、安全函数
3.建立安全运营机制及体系
|