课程详情
培训对象
企业信息安全技术人员
企业IT负责人员
企业IT运维人员(网络、系统、机房等)
企业IT及信息安全审计人员
其他信息安全从业人员
其他对Web感兴趣的人
企业IT负责人员
企业IT运维人员(网络、系统、机房等)
企业IT及信息安全审计人员
其他信息安全从业人员
其他对Web感兴趣的人
培训收益
协助政府或企业了解并改善网页应用程式与网页服务的安全性
课程内容
谷安Web培训课程大纲
> 第一天上午
9:00~10:00 培训开始 l 讲师自我介绍
l 课程介绍 & 培训内容介绍
l 培训注意事项
WEB应用安全概论 l 信息安全发展趋势
l 应用系统介绍
l 应用安全现状分析
10:00~10:10 茶 歇
10:10~11:30 OWASP TOP 10(一)
l 介绍OWASP TOP 10,配和代码讲解(注:以下包括部分讲解问题)
² 注入-Injection
² 跨站脚本-XSS
² 失效的验证和会话管理
² 不安全的直接对象访问
² 跨站伪造请求-CSRF
11:30~11:50 讨论 l 和学员进行交流,对存在的问题进行讨论
>> 第一天下午
13:30~15:00 OWASP TOP 10(二) l 介绍OWASP TOP 10,配和代码讲解(注:以下包括部分讲解问题)
² 不正确的安全设置
² 不安全的加密存储
² URL访问限制缺失
² 没有足够的传输层防护
² 未验证的重定向和跳转
15:00~15:10 茶 歇
15:10~16:00 代码安全测试介绍 l 代码手工测试介绍以及案例讲解
l 自动化测试介绍及案例讲解,配合相关工具使用(包括技术原理分析,误报排查)
l 代码安全修复策略分享(安全架构,安全策略评估,适用场景)
16:00~16:10 茶 歇
16:10~17:10 代码安全测试介绍 l 代码手工测试介绍以及案例讲解
l 自动化测试介绍及案例讲解,配合相关工具使用(包括技术原理分析,误报排查)
l 代码安全修复策略分享(安全架构,安全策略评估,适用场景)
17:10~17:30 讨论 l 和学员进行交流,对存在的问题进行讨论
17:30 第一天培训结束 l 第一天培训结束
>>> 第二天上午
9:00~9:15 培训开始 l 第一天培训内容回顾
9:15~10:30 框架安全介绍 l 介绍主流框架的安全机制(Struts,Spring,Hibernate,Seam)
l 介绍主流框架的安全缺陷(Struts,Spring,Hibernate)
10:30~10:40 茶 歇
10:40~11:50 安全部署 l Web服务器安全漏洞和修复策略
l 中间件服务器安全漏洞和修复策略
l 数据库服务器安全漏洞和修复策略
>>>> 第二天下午
13:30~14:50 HTTP协议及嗅探抓包 l HTTP协议简介
l 嗅探抓包及在渗透中的利用(含实验)
14:50~15:00 茶 歇
15:00~16:50 软件安全开发生命周期(SDL)(刘志乐) l 介绍安全开发生命周期整个过程
² 安全需求分析
² 安全设计
² 安全编程
² 安全测试
² 安全部署
16:50~17:00 茶 歇
17:00~17:30 讨论 l 和学员进行交流,对存在的问题进行讨论
17:30 培训结束 l 培训结束
>>>>第三天上午实验,下午认证考试
> 第一天上午
9:00~10:00 培训开始 l 讲师自我介绍
l 课程介绍 & 培训内容介绍
l 培训注意事项
WEB应用安全概论 l 信息安全发展趋势
l 应用系统介绍
l 应用安全现状分析
10:00~10:10 茶 歇
10:10~11:30 OWASP TOP 10(一)
l 介绍OWASP TOP 10,配和代码讲解(注:以下包括部分讲解问题)
² 注入-Injection
² 跨站脚本-XSS
² 失效的验证和会话管理
² 不安全的直接对象访问
² 跨站伪造请求-CSRF
11:30~11:50 讨论 l 和学员进行交流,对存在的问题进行讨论
>> 第一天下午
13:30~15:00 OWASP TOP 10(二) l 介绍OWASP TOP 10,配和代码讲解(注:以下包括部分讲解问题)
² 不正确的安全设置
² 不安全的加密存储
² URL访问限制缺失
² 没有足够的传输层防护
² 未验证的重定向和跳转
15:00~15:10 茶 歇
15:10~16:00 代码安全测试介绍 l 代码手工测试介绍以及案例讲解
l 自动化测试介绍及案例讲解,配合相关工具使用(包括技术原理分析,误报排查)
l 代码安全修复策略分享(安全架构,安全策略评估,适用场景)
16:00~16:10 茶 歇
16:10~17:10 代码安全测试介绍 l 代码手工测试介绍以及案例讲解
l 自动化测试介绍及案例讲解,配合相关工具使用(包括技术原理分析,误报排查)
l 代码安全修复策略分享(安全架构,安全策略评估,适用场景)
17:10~17:30 讨论 l 和学员进行交流,对存在的问题进行讨论
17:30 第一天培训结束 l 第一天培训结束
>>> 第二天上午
9:00~9:15 培训开始 l 第一天培训内容回顾
9:15~10:30 框架安全介绍 l 介绍主流框架的安全机制(Struts,Spring,Hibernate,Seam)
l 介绍主流框架的安全缺陷(Struts,Spring,Hibernate)
10:30~10:40 茶 歇
10:40~11:50 安全部署 l Web服务器安全漏洞和修复策略
l 中间件服务器安全漏洞和修复策略
l 数据库服务器安全漏洞和修复策略
>>>> 第二天下午
13:30~14:50 HTTP协议及嗅探抓包 l HTTP协议简介
l 嗅探抓包及在渗透中的利用(含实验)
14:50~15:00 茶 歇
15:00~16:50 软件安全开发生命周期(SDL)(刘志乐) l 介绍安全开发生命周期整个过程
² 安全需求分析
² 安全设计
² 安全编程
² 安全测试
² 安全部署
16:50~17:00 茶 歇
17:00~17:30 讨论 l 和学员进行交流,对存在的问题进行讨论
17:30 培训结束 l 培训结束
>>>>第三天上午实验,下午认证考试
课程安排
谷安Web培训课程大纲
> 第一天上午
9:00~10:00 培训开始 l 讲师自我介绍
l 课程介绍 & 培训内容介绍
l 培训注意事项
WEB应用安全概论 l 信息安全发展趋势
l 应用系统介绍
l 应用安全现状分析
10:00~10:10 茶 歇
10:10~11:30 OWASP TOP 10(一)
l 介绍OWASP TOP 10,配和代码讲解(注:以下包括部分讲解问题)
² 注入-Injection
² 跨站脚本-XSS
² 失效的验证和会话管理
² 不安全的直接对象访问
² 跨站伪造请求-CSRF
11:30~11:50 讨论 l 和学员进行交流,对存在的问题进行讨论
>> 第一天下午
13:30~15:00 OWASP TOP 10(二) l 介绍OWASP TOP 10,配和代码讲解(注:以下包括部分讲解问题)
² 不正确的安全设置
² 不安全的加密存储
² URL访问限制缺失
² 没有足够的传输层防护
² 未验证的重定向和跳转
15:00~15:10 茶 歇
15:10~16:00 代码安全测试介绍 l 代码手工测试介绍以及案例讲解
l 自动化测试介绍及案例讲解,配合相关工具使用(包括技术原理分析,误报排查)
l 代码安全修复策略分享(安全架构,安全策略评估,适用场景)
16:00~16:10 茶 歇
16:10~17:10 代码安全测试介绍 l 代码手工测试介绍以及案例讲解
l 自动化测试介绍及案例讲解,配合相关工具使用(包括技术原理分析,误报排查)
l 代码安全修复策略分享(安全架构,安全策略评估,适用场景)
17:10~17:30 讨论 l 和学员进行交流,对存在的问题进行讨论
17:30 第一天培训结束 l 第一天培训结束
>>> 第二天上午
9:00~9:15 培训开始 l 第一天培训内容回顾
9:15~10:30 框架安全介绍 l 介绍主流框架的安全机制(Struts,Spring,Hibernate,Seam)
l 介绍主流框架的安全缺陷(Struts,Spring,Hibernate)
10:30~10:40 茶 歇
10:40~11:50 安全部署 l Web服务器安全漏洞和修复策略
l 中间件服务器安全漏洞和修复策略
l 数据库服务器安全漏洞和修复策略
>>>> 第二天下午
13:30~14:50 HTTP协议及嗅探抓包 l HTTP协议简介
l 嗅探抓包及在渗透中的利用(含实验)
14:50~15:00 茶 歇
15:00~16:50 软件安全开发生命周期(SDL)(刘志乐) l 介绍安全开发生命周期整个过程
² 安全需求分析
² 安全设计
² 安全编程
² 安全测试
² 安全部署
16:50~17:00 茶 歇
17:00~17:30 讨论 l 和学员进行交流,对存在的问题进行讨论
17:30 培训结束 l 培训结束
>>>>第三天上午实验,下午认证考试
> 第一天上午
9:00~10:00 培训开始 l 讲师自我介绍
l 课程介绍 & 培训内容介绍
l 培训注意事项
WEB应用安全概论 l 信息安全发展趋势
l 应用系统介绍
l 应用安全现状分析
10:00~10:10 茶 歇
10:10~11:30 OWASP TOP 10(一)
l 介绍OWASP TOP 10,配和代码讲解(注:以下包括部分讲解问题)
² 注入-Injection
² 跨站脚本-XSS
² 失效的验证和会话管理
² 不安全的直接对象访问
² 跨站伪造请求-CSRF
11:30~11:50 讨论 l 和学员进行交流,对存在的问题进行讨论
>> 第一天下午
13:30~15:00 OWASP TOP 10(二) l 介绍OWASP TOP 10,配和代码讲解(注:以下包括部分讲解问题)
² 不正确的安全设置
² 不安全的加密存储
² URL访问限制缺失
² 没有足够的传输层防护
² 未验证的重定向和跳转
15:00~15:10 茶 歇
15:10~16:00 代码安全测试介绍 l 代码手工测试介绍以及案例讲解
l 自动化测试介绍及案例讲解,配合相关工具使用(包括技术原理分析,误报排查)
l 代码安全修复策略分享(安全架构,安全策略评估,适用场景)
16:00~16:10 茶 歇
16:10~17:10 代码安全测试介绍 l 代码手工测试介绍以及案例讲解
l 自动化测试介绍及案例讲解,配合相关工具使用(包括技术原理分析,误报排查)
l 代码安全修复策略分享(安全架构,安全策略评估,适用场景)
17:10~17:30 讨论 l 和学员进行交流,对存在的问题进行讨论
17:30 第一天培训结束 l 第一天培训结束
>>> 第二天上午
9:00~9:15 培训开始 l 第一天培训内容回顾
9:15~10:30 框架安全介绍 l 介绍主流框架的安全机制(Struts,Spring,Hibernate,Seam)
l 介绍主流框架的安全缺陷(Struts,Spring,Hibernate)
10:30~10:40 茶 歇
10:40~11:50 安全部署 l Web服务器安全漏洞和修复策略
l 中间件服务器安全漏洞和修复策略
l 数据库服务器安全漏洞和修复策略
>>>> 第二天下午
13:30~14:50 HTTP协议及嗅探抓包 l HTTP协议简介
l 嗅探抓包及在渗透中的利用(含实验)
14:50~15:00 茶 歇
15:00~16:50 软件安全开发生命周期(SDL)(刘志乐) l 介绍安全开发生命周期整个过程
² 安全需求分析
² 安全设计
² 安全编程
² 安全测试
² 安全部署
16:50~17:00 茶 歇
17:00~17:30 讨论 l 和学员进行交流,对存在的问题进行讨论
17:30 培训结束 l 培训结束
>>>>第三天上午实验,下午认证考试
师资介绍
谷安Web讲师详情查看
更多关于Web的问题,请查看(安帮网)或联系我们,我们竭诚为您服务!
更多课程请参见(
更多关于Web的问题,请查看(安帮网)或联系我们,我们竭诚为您服务!
更多课程请参见(
其他信息
OWASP(开 放Web软体安全项目- Open Web Application Security Project)是一个开放社群、非营利性组织,目前全球有82个分会近万名会员,其主要目标是研议协助解决Web软体安全之标准、工具与技术文件,长期 致力于协助政府或企业了解并改善网页应用程式与网页服务的安全性。由于应用范围日广,网页应用安全已经逐渐的受到重视,并渐渐成为在安全领域的一个热门话 题,在此同时,骇客们也悄悄的将焦点转移到网页应用程式开发时所会产生的弱点来进行攻击与破坏。
OWASP在业界影响力:美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP所发布的十大Web弱点防护守则、 美国国防部亦列为最佳实务,国际信用卡数据安全技术PCI标准更将其列为必要组件。
OWASP研究内容:目前OWASP有30多个进行中的计划,包括最知名的OWASP Top 10(十大Web弱点)、WebGoat (代罪羔羊)练习平台、安全PHP/Java/等计划,针对不同的软件安全问题在进行讨论与研究。
伴随互联网技术的发展,更多的业务系统将基于B/S架构设计,基于web的安全威胁与日俱增。OWASP中国将尽最大的努力,推动应用安全相关技术在中国的发展
OWASP在业界影响力:美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP所发布的十大Web弱点防护守则、 美国国防部亦列为最佳实务,国际信用卡数据安全技术PCI标准更将其列为必要组件。
OWASP研究内容:目前OWASP有30多个进行中的计划,包括最知名的OWASP Top 10(十大Web弱点)、WebGoat (代罪羔羊)练习平台、安全PHP/Java/等计划,针对不同的软件安全问题在进行讨论与研究。
伴随互联网技术的发展,更多的业务系统将基于B/S架构设计,基于web的安全威胁与日俱增。OWASP中国将尽最大的努力,推动应用安全相关技术在中国的发展