欧美成人影院,欧美精品亚洲二区,欧美精品亚州精品,国产高清视频一区三区

陳國星
  • 陳國星企業(yè)IT團(tuán)隊(duì)技能提升引領(lǐng)者
  • 擅長領(lǐng)域: 管理技能提升
  • 講師報價: 面議
  • 常駐城市:廣州市
  • 學(xué)員評價: 暫無評價 發(fā)表評價
  • 助理電話: 13370590290 QQ:863028124 微信掃碼加我好友
  • 在線咨詢

軟件安全設(shè)計(jì)與開發(fā)實(shí)戰(zhàn)

主講老師:陳國星
發(fā)布時間:2024-09-30 14:49:23
課程領(lǐng)域:通用管理 其他
課程詳情:

【課程背景】

隨著互聯(lián)網(wǎng)時代的到來,企業(yè)的應(yīng)用也逐步轉(zhuǎn)向互聯(lián)網(wǎng),以互聯(lián)網(wǎng)形式開放給用戶進(jìn)行使用?而互聯(lián)網(wǎng)帶來最大的問題就是安全問題,企業(yè)如何解決互聯(lián)網(wǎng)應(yīng)用的安全問題?

本課程在主動的安全開發(fā)框架指導(dǎo)下,深入剖析軟件開發(fā)生命周期各階段的安全細(xì)節(jié)問題,理解協(xié)同構(gòu)建安全系統(tǒng)的方法。并通過大量的動手實(shí)操和相關(guān)案例貫穿所有的理論知識,使學(xué)員熟練掌握代碼安全漏洞分析、編程規(guī)范、代碼質(zhì)量問題分析、安全設(shè)計(jì)與防御常見問題及解決方法。

【課程收益】

學(xué)會分析軟件安全脆弱性產(chǎn)生的根源

展示多種攻擊軟件的手段、指出軟件開發(fā)過程中不同人員在設(shè)計(jì)和開發(fā)中常犯的錯誤

探討當(dāng)前軟件安全界關(guān)注的熱點(diǎn)問題

總結(jié)和提高軟件質(zhì)量和安全性的指導(dǎo)思想、開發(fā)策略、技術(shù)路線和實(shí)施方法

掌握代碼安全典型漏洞

安全漏洞攻防演練

掌握通用代碼編程規(guī)范

能夠?qū)Υa進(jìn)行質(zhì)量問題分析

掌握項(xiàng)目的安全設(shè)計(jì)與防御

【課程對象】IT技術(shù)負(fù)責(zé)人、軟件架構(gòu)師、系統(tǒng)分析師、資深開發(fā)人員、測試人員、信息技術(shù)安全部門的相關(guān)人員

【課程時間】2天

【課程大綱】


一、安全知識背景

1、安全基礎(chǔ)

當(dāng)前企業(yè)面臨的安全態(tài)勢分析

安全分類

Top 10安全問題分析

安全案例分析

2、常見的Web攻擊手段

二、服務(wù)器&瀏覽器安全

1、服務(wù)器安全

服務(wù)器分等級隔離部署策略

應(yīng)用部署的目錄要求

服務(wù)器開放賬號最小特權(quán)權(quán)限

端口白名單開放策略

不同權(quán)限級別用戶增加額外訪問控制

公共配置存儲的安全

檢測指定web應(yīng)用是否開放非必須的http方法

http trace方法開放測試

關(guān)閉后臺調(diào)試信息

應(yīng)用上傳路徑的安全監(jiān)控

2、瀏覽器安全

瀏覽器廠商對安全的日漸重視

同源策略

瀏覽器沙箱

惡意網(wǎng)址攔截

基于瀏覽器自身安全機(jī)制的提升

三、常用安全漏洞的攻與防-客戶端安全

1、跨站腳本攻擊(XSS)

什么是XSS

XSS為什么是一種熱門攻擊手段

XSS Payload的定義

Cookie劫持

XSS釣魚

常見的CSS攻擊平臺

XSS Worm

XSS構(gòu)造技巧

如何防御XSS

實(shí)戰(zhàn):XSS攻擊與防范實(shí)戰(zhàn)

2、跨站請求偽造(CSRF)

CSRF定義

CSRF可以做什么

CSRF漏洞現(xiàn)狀

CSRF的攻擊原理

如何防御CSRF

CSRF與XSS的比較

實(shí)戰(zhàn):CSRF修改用戶密碼以及防范措施

3、釣魚攻擊

什么是釣魚攻擊

釣魚攻擊的一般步驟

目前釣魚攻擊的調(diào)查報告統(tǒng)計(jì)

釣魚攻擊有哪些常見的方法

案例:釣魚攻擊

4、點(diǎn)擊劫持

點(diǎn)擊劫持的定義

常見的點(diǎn)擊劫持分類

5、HTML5安全

Iframe sandbox機(jī)制

Canvas

PostMessage跨窗口消息傳遞

WebStorage本地存儲

案例:Noreferer問題演示與防范

四、常用安全漏洞的攻與防-服務(wù)端安全

1、SQL注入

SQL注入定義

SQL注入目的

常用的SQL注入語句

SQL注入方式

注入思路分析

SQL盲注與一般SQL注入的區(qū)別

如何防御SQL注入

實(shí)戰(zhàn):SQL注入攻擊與防范實(shí)戰(zhàn)

2、文件上傳和下載漏洞

文件上傳漏洞的定義

因文件上傳漏洞所帶來的安全問題

必須具備的條件

文件上傳漏洞包括哪些類型

如何防御文件上傳漏洞

實(shí)戰(zhàn):文件上傳和下載漏洞注入攻擊與防范實(shí)戰(zhàn)

3、認(rèn)證與會話管理

認(rèn)證與授權(quán)的定義

認(rèn)證分類

密碼認(rèn)證的優(yōu)缺點(diǎn)

密碼設(shè)計(jì)應(yīng)遵循的原則

密碼出錯策略設(shè)置

密碼輸入框的密文顯示

密碼的加密存儲

密碼的加密傳輸

初始化口令的要求

驗(yàn)證碼的安全使用

認(rèn)證處理模塊的合法性校驗(yàn)及認(rèn)證結(jié)果返回要求

關(guān)鍵事務(wù)處理的多級認(rèn)證和強(qiáng)身份認(rèn)證

會話重寫

用戶賬號的鎖定策略

Session機(jī)制詳解

Session常用的攻擊漏洞

獲取sessionid的兩種手段

注銷時會話清除

單點(diǎn)登錄

如何進(jìn)行認(rèn)證測試

不安全的數(shù)據(jù)傳輸

服務(wù)端業(yè)務(wù)處理的流程順序限制

案例:Session劫持與防范

4、訪問控制

不安全對象的引用

功能級的訪問必須經(jīng)過認(rèn)證和鑒權(quán)

認(rèn)證和鑒權(quán)必須在服務(wù)器端處理

采用最小化權(quán)限控制策略

應(yīng)用程序運(yùn)行賬號和數(shù)據(jù)庫連接賬號的分離以及最小職權(quán)原則

操作系統(tǒng)文件的權(quán)限控制策略

訪問控制的分類

垂直權(quán)限管理

水平權(quán)限管理

5、安全配置錯誤

安全配置的定義

因安全配置錯誤引發(fā)的安全問題

如何防御安全配置錯誤引發(fā)的安全問題

案例:文件目錄的安全問題

6、使用含有已知漏洞的組件

描述

所帶來的危害

解決辦法

7、未驗(yàn)證的重定向和轉(zhuǎn)發(fā)

案例

解決辦法

8、敏感信息泄露

敏感信息的定義

敏感信息的危害

敏感信息的案例

如何解決敏感信息泄露引發(fā)的問題

如何進(jìn)行敏感信息泄露的測試

代碼中的敏感數(shù)據(jù)

禁止明文存儲密鑰和口令

禁止Cookie中存儲明文形式敏感數(shù)據(jù)

安全的加密算法推薦

日志中敏感數(shù)據(jù)存儲

敏感數(shù)據(jù)禁止緩存到頁面

敏感數(shù)據(jù)表單提交規(guī)則

使用帶證書的SSL

禁止URL中攜帶敏感信息

9、拒絕服務(wù)攻擊

網(wǎng)絡(luò)層的拒絕服務(wù)攻擊

應(yīng)用層的拒絕服務(wù)攻擊

如何防范應(yīng)用層的拒絕服務(wù)攻擊

10、安全審計(jì)

安全事件和操作事件的記錄

安全日志的訪問權(quán)限控制

? 安全日志的分析

其他課程

微服務(wù)架構(gòu)設(shè)計(jì)與實(shí)戰(zhàn)
其他
【課程背景】隨著互聯(lián)網(wǎng)時代的到來,數(shù)據(jù)量急劇增加,并發(fā)量也越來越大,傳統(tǒng)的單體應(yīng)用訪問起來變得越來越緩慢?企業(yè)如何快速的找到應(yīng)用緩慢的根源并進(jìn)行快速的優(yōu)化?企業(yè)如何重新規(guī)劃和設(shè)計(jì)高可用高并發(fā)的分布式系統(tǒng)的架構(gòu),而微服務(wù)架構(gòu)已然成為分布式系統(tǒng)架構(gòu)最主流的實(shí)現(xiàn)方案。本課程首先從軟件架構(gòu)的演變歷程開始分析,分析傳統(tǒng)的單體架構(gòu)是如何演變?yōu)槲⒎?wù)架構(gòu)的?探討了基于微服務(wù)架構(gòu)對團(tuán)隊(duì)技能以及團(tuán)隊(duì)組織架構(gòu)的要求,
軟件安全設(shè)計(jì)與開發(fā)實(shí)戰(zhàn)
其他
【課程背景】隨著互聯(lián)網(wǎng)時代的到來,企業(yè)的應(yīng)用也逐步轉(zhuǎn)向互聯(lián)網(wǎng),以互聯(lián)網(wǎng)形式開放給用戶進(jìn)行使用?而互聯(lián)網(wǎng)帶來最大的問題就是安全問題,企業(yè)如何解決互聯(lián)網(wǎng)應(yīng)用的安全問題?本課程在主動的安全開發(fā)框架指導(dǎo)下,深入剖析軟件開發(fā)生命周期各階段的安全細(xì)節(jié)問題,理解協(xié)同構(gòu)建安全系統(tǒng)的方法。并通過大量的動手實(shí)操和相關(guān)案例貫穿所有的理論知識,使學(xué)員熟練掌握代碼安全漏洞分析、編程規(guī)范、代碼質(zhì)量問題分析、安全設(shè)計(jì)與防御常見
分布式架構(gòu)設(shè)計(jì)
其他
【課程背景】隨著互聯(lián)網(wǎng)時代的到來,數(shù)據(jù)量急劇增加,并發(fā)量也越來越大,傳統(tǒng)的應(yīng)用訪問起來變得越來越緩慢?企業(yè)如何快速的找到應(yīng)用緩慢的根源并進(jìn)行快速的優(yōu)化?企業(yè)如何重新規(guī)劃和設(shè)計(jì)高可用高并發(fā)的分布式系統(tǒng)的架構(gòu)?本課程圍繞實(shí)際的項(xiàng)目中遇到的各種瓶頸展開,一方面有針對性的分別從分布式系統(tǒng)中常用中間件、講解各類中間件的原理、應(yīng)用場景以及如何構(gòu)造高性能的大型的分布式的應(yīng)用系統(tǒng);另一方面,從數(shù)據(jù)庫層面如何應(yīng)對分
Java企業(yè)應(yīng)用開發(fā)與項(xiàng)目實(shí)戰(zhàn)
項(xiàng)目管理
【課程背景】企業(yè)通過校招或社招的新員工如何快速掌握J(rèn)ava開發(fā)的技能,進(jìn)入實(shí)際的企業(yè)項(xiàng)目開發(fā)?企業(yè)已有員工想從其它崗位方向如何快速轉(zhuǎn)型Java企業(yè)應(yīng)用開發(fā)?本課程采取由淺入深、案例實(shí)戰(zhàn)驅(qū)動理論學(xué)習(xí)的教學(xué)方式,站在一個擁有多年Java開發(fā)經(jīng)驗(yàn)的角度以理論+案例實(shí)戰(zhàn)的方式帶領(lǐng)學(xué)員攻克一個個Java企業(yè)應(yīng)用開發(fā)的各個必備技能?包括像Java企業(yè)應(yīng)用開發(fā)的核心技術(shù)有哪些?如何利用業(yè)界主流的技術(shù)框架Spri
授課見證
推薦講師

馬成功

Office超級實(shí)戰(zhàn)派講師,國內(nèi)IPO排版第一人

講師課酬: 面議

常駐城市:北京市

學(xué)員評價:

賈倩

注冊形象設(shè)計(jì)師,國家二級企業(yè)培訓(xùn)師,國家二級人力資源管理師

講師課酬: 面議

常駐城市:深圳市

學(xué)員評價:

鄭惠芳

人力資源專家

講師課酬: 面議

常駐城市:上海市

學(xué)員評價:

晏世樂

資深培訓(xùn)師,職業(yè)演說家,專業(yè)咨詢顧問

講師課酬: 面議

常駐城市:深圳市

學(xué)員評價:

文小林

實(shí)戰(zhàn)人才培養(yǎng)應(yīng)用專家

講師課酬: 面議

常駐城市:深圳市

學(xué)員評價:

主站蜘蛛池模板: 桐乡市| 平利县| 家居| 金沙县| 广东省| 牟定县| 额敏县| 镇雄县| 华坪县| 哈尔滨市| 内乡县| 乌兰浩特市| 延边| 太白县| 沂南县| 海淀区| 大竹县| 山西省| 亳州市| 泸州市| 武强县| 洪泽县| 旺苍县| 玛纳斯县| 七台河市| 安福县| 湖州市| 内黄县| 湖南省| 弥勒县| 通海县| 澄江县| 新安县| 壶关县| 双城市| 西城区| 株洲市| 托克托县| 油尖旺区| 定边县| 辽宁省|