课程详情
培训对象
对WEB应用安全感兴趣的所有人员
培训收益
凡参加此课程培训的学员,经考察合格后都将获得由OWASP中国颁发《OWASP-WEB应用安全工程师认证》资质证书。
课程内容
OWASP(开放Web软体安全项目- Open Web Application Security Project)是一个开放社群、非营利性组织,目前全球有82个分会近万名会员,其主要目标是研议协助解决Web软体安全之标准、工具与技术文件,长期致力于协助政府或企业了解并改善网页应用程式与网页服务的安全性。由于应用范围日广,网页应用安全已经逐渐的受到重视,并渐渐成为在安全领域的一个热门话题,在此同时,骇客们也悄悄的将焦点转移到网页应用程式开发时所会产生的弱点来进行攻击与破坏。
OWASP在业界影响力:美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP所发布的十大Web弱点防护守则、 美国国防部亦列为最佳实务,国际信用卡数据安全技术PCI标准更将其列为必要组件。
OWASP研究内容:目前OWASP有30多个进行中的计划,包括最知名的OWASP Top 10(十大Web弱点)、WebGoat (代罪羔羊)练习平台、安全PHP/Java/等计划,针对不同的软件安全问题在进行讨论与研究。
伴随互联网技术的发展,更多的业务系统将基于B/S架构设计,基于web的安全威胁与日俱增。OWASP中国将尽最大的努力,推动应用安全相关技术在中国的发展!
OWASP在业界影响力:美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP所发布的十大Web弱点防护守则、 美国国防部亦列为最佳实务,国际信用卡数据安全技术PCI标准更将其列为必要组件。
OWASP研究内容:目前OWASP有30多个进行中的计划,包括最知名的OWASP Top 10(十大Web弱点)、WebGoat (代罪羔羊)练习平台、安全PHP/Java/等计划,针对不同的软件安全问题在进行讨论与研究。
伴随互联网技术的发展,更多的业务系统将基于B/S架构设计,基于web的安全威胁与日俱增。OWASP中国将尽最大的努力,推动应用安全相关技术在中国的发展!
课程安排
> 第一天上午
9:00~10:00 培训开始 讲师自我介绍
课程介绍 & 培训内容介绍
培训注意事项
WEB应用安全概论 信息安全发展趋势
应用系统介绍
应用安全现状分析
10:00~10:10 茶 歇
10:10~11:30 OWASP TOP 10(一)
介绍OWASP TOP 10,配和代码讲解(注:以下包括部分讲解问题)
注入-Injection
跨站脚本-XSS
失效的验证和会话管理
不安全的直接对象访问
跨站伪造请求-CSRF
11:30~11:50 讨论 和学员进行交流,对存在的问题进行讨论
>> 第一天下午
13:30~15:00 OWASP TOP 10(二) 介绍OWASP TOP 10,配和代码讲解(注:以下包括部分讲解问题)
不正确的安全设置
不安全的加密存储
URL访问限制缺失
没有足够的传输层防护
未验证的重定向和跳转
15:00~15:10 茶 歇
15:10~16:00 代码安全测试介绍 代码手工测试介绍以及案例讲解
自动化测试介绍及案例讲解,配合相关工具使用(包括技术原理分析,误报排查)
代码安全修复策略分享(安全架构,安全策略评估,适用场景)
16:00~16:10 茶 歇
16:10~17:10 代码安全测试介绍 代码手工测试介绍以及案例讲解
自动化测试介绍及案例讲解,配合相关工具使用(包括技术原理分析,误报排查)
代码安全修复策略分享(安全架构,安全策略评估,适用场景)
17:10~17:30 讨论 和学员进行交流,对存在的问题进行讨论
17:30 第一天培训结束 第一天培训结束
>>> 第二天上午
9:00~9:15 培训开始 第一天培训内容回顾
9:15~10:30 框架安全介绍 介绍主流框架的安全机制(Struts,Spring,Hibernate,Seam)
介绍主流框架的安全缺陷(Struts,Spring,Hibernate)
10:30~10:40 茶 歇
10:40~11:50 安全部署 Web服务器安全漏洞和修复策略
中间件服务器安全漏洞和修复策略
数据库服务器安全漏洞和修复策略
>>>> 第二天下午
13:30~14:50 HTTP协议及嗅探抓包 HTTP协议简介
嗅探抓包及在渗透中的利用(含实验)
14:50~15:00 茶 歇
15:00~16:50 软件安全开发生命周期(SDL) 介绍安全开发生命周期整个过程
安全需求分析
安全设计
安全编程
安全测试
安全部署
16:50~17:00 茶 歇
17:00~17:30 讨论 和学员进行交流,对存在的问题进行讨论
17:30 培训结束 培训结束
>>>>第三天 上午实践实验 下午认证考试
9:00~10:00 培训开始 讲师自我介绍
课程介绍 & 培训内容介绍
培训注意事项
WEB应用安全概论 信息安全发展趋势
应用系统介绍
应用安全现状分析
10:00~10:10 茶 歇
10:10~11:30 OWASP TOP 10(一)
介绍OWASP TOP 10,配和代码讲解(注:以下包括部分讲解问题)
注入-Injection
跨站脚本-XSS
失效的验证和会话管理
不安全的直接对象访问
跨站伪造请求-CSRF
11:30~11:50 讨论 和学员进行交流,对存在的问题进行讨论
>> 第一天下午
13:30~15:00 OWASP TOP 10(二) 介绍OWASP TOP 10,配和代码讲解(注:以下包括部分讲解问题)
不正确的安全设置
不安全的加密存储
URL访问限制缺失
没有足够的传输层防护
未验证的重定向和跳转
15:00~15:10 茶 歇
15:10~16:00 代码安全测试介绍 代码手工测试介绍以及案例讲解
自动化测试介绍及案例讲解,配合相关工具使用(包括技术原理分析,误报排查)
代码安全修复策略分享(安全架构,安全策略评估,适用场景)
16:00~16:10 茶 歇
16:10~17:10 代码安全测试介绍 代码手工测试介绍以及案例讲解
自动化测试介绍及案例讲解,配合相关工具使用(包括技术原理分析,误报排查)
代码安全修复策略分享(安全架构,安全策略评估,适用场景)
17:10~17:30 讨论 和学员进行交流,对存在的问题进行讨论
17:30 第一天培训结束 第一天培训结束
>>> 第二天上午
9:00~9:15 培训开始 第一天培训内容回顾
9:15~10:30 框架安全介绍 介绍主流框架的安全机制(Struts,Spring,Hibernate,Seam)
介绍主流框架的安全缺陷(Struts,Spring,Hibernate)
10:30~10:40 茶 歇
10:40~11:50 安全部署 Web服务器安全漏洞和修复策略
中间件服务器安全漏洞和修复策略
数据库服务器安全漏洞和修复策略
>>>> 第二天下午
13:30~14:50 HTTP协议及嗅探抓包 HTTP协议简介
嗅探抓包及在渗透中的利用(含实验)
14:50~15:00 茶 歇
15:00~16:50 软件安全开发生命周期(SDL) 介绍安全开发生命周期整个过程
安全需求分析
安全设计
安全编程
安全测试
安全部署
16:50~17:00 茶 歇
17:00~17:30 讨论 和学员进行交流,对存在的问题进行讨论
17:30 培训结束 培训结束
>>>>第三天 上午实践实验 下午认证考试
师资介绍
郝轶
谷安IT风险管理学院特聘高级讲师,6年信息安全相关工作经验,主要从事信息安全实施规划、信息安全风险评估、信息安全管理体系建立和实施、等级保护等方面工作,具备丰富的安全服务实践经验。曾负责世界500强企业内部信息安全管理及SOX内审。
曾为国务院办公厅、科技部、北京市人大、北京市教委、中国建筑股份有限公司、中国国家科技文献检索中心、中国人寿保险(集团)公司、全国组织机构代码管理中心、人民网、中国移动、中国联通、中钢等单位提供培训服务和咨询。
刘志乐
谷安IT风险管理学院特聘高级讲师,资深安全顾问, ACCP软件工程师认证。OWASP中国分会会员,天阳网络技术论坛核心成员,AK TEAM核心。9年信息安全领域工作经验,主要从事信息安全实施规划、信息安全风险评估、信息安全服务、安全管理平台等方面工作,具备丰富的信息安全咨询与IT审计实践经验。曾服务的主要客户有公安部第三研究所、上海移动、江苏移动、海通证券、浙商银行、上海世博、广东电信研究院、浙江省烟草专卖局、浙江省农村信用合作社、浙江地区多家城市商业银行、国家电力科学研究院、浙江省科技厅等。
从业经历:
现任某信息技术有限公司安全服务部经理,为客户提供IT风险管理与控制、信息安全等咨询服务。曾在北大青鸟ACCP软件工程师认证培训讲师。
梁伟
谷安IT风险管理学院特聘高级讲师,超过7年的专业安全服务经验。在信息安全风险评估、ISMS体系建设、渗透测试和安全培训方面有较为丰富的经验。曾为多地的移动和电信省公司、奥组委等用户提供风险评估和渗透测试服务;为移动集团、电信研究院等用户提供安全培训;移动集团组织的全国技术大比武的出题人及培训讲师;为银河证券、中心证券、宏源证券、上海期货交易所等用户提供安全建设和咨询服务。
现任某信息技术有限公司咨询顾问部总监,主要为用户提供安全咨询、培训等服务。项目经验包括:军工保密资格认证中心、浙江烟草、中国移动研究院等用户的相关安全规范的咨询及编写工作,某大型企业的内部云计算平台的安全咨询与规划工作。
张小孟
谷安天下IT风险管理学院特聘讲师,信息安全资深专家, ISO27001:2005主任审核员;获取浙江省等级保护测试师资质;目前为OWASP中国分会会员、幻影旅团(ph4nt0m)成员;超过6年的WEB安全评估和渗透测试以及培训经验。奥组委安全专家小组成员,先后给奥组委,中国移动,电信,金融和国企进行过各类深度安全培训并且取得良好的反馈。
从业经历:
现任某信息技术有限公司服务中心总监,项目经验包括北京奥运网安全检测;中国出口信用保险安全检测;北京市公安局及下属单位安全检测;中国石油管理公司整体安全服务;公安部60周年全国WEB应用安全大检查;浙江移动内部平台53个应用系统安全服务;浙江省政府安全检测;浙江省网通安全检测。
冯老师
谷安天下IT风险管理学院特聘讲师,信息安全资深专家,银联卡账户信息安全合规评估师,ISO 27001 主任审核员,CISP,思科-BSCI证书。7年信息安全领域从业经验,主要从事安全咨询,信息安全标准,信息安全管理,信息安全策略与制度建设,信息安全规划与体系建设,信息安全风险评估、信息安全加固、应急预案评估、安全审计、安全培训等安全服务。曾服务的主要客户有中国电信、华泰证券、浙江省银监局、中国银联支付、浙江省工商局、浙江省国税局、浙江省烟草专卖局、浙江地区多家城市商业银行等。
从业经历:
曾任绿盟科技信息技术有限公司高级安全顾问,为客户提供IT风险管理与控制、信息安全等咨询服务。
现任某信息技术有限公司高级安全顾问/资深行业咨询经理,主要负责为客户提供安全技术解决方案、安全管理咨询与服务。
谷安IT风险管理学院特聘高级讲师,6年信息安全相关工作经验,主要从事信息安全实施规划、信息安全风险评估、信息安全管理体系建立和实施、等级保护等方面工作,具备丰富的安全服务实践经验。曾负责世界500强企业内部信息安全管理及SOX内审。
曾为国务院办公厅、科技部、北京市人大、北京市教委、中国建筑股份有限公司、中国国家科技文献检索中心、中国人寿保险(集团)公司、全国组织机构代码管理中心、人民网、中国移动、中国联通、中钢等单位提供培训服务和咨询。
刘志乐
谷安IT风险管理学院特聘高级讲师,资深安全顾问, ACCP软件工程师认证。OWASP中国分会会员,天阳网络技术论坛核心成员,AK TEAM核心。9年信息安全领域工作经验,主要从事信息安全实施规划、信息安全风险评估、信息安全服务、安全管理平台等方面工作,具备丰富的信息安全咨询与IT审计实践经验。曾服务的主要客户有公安部第三研究所、上海移动、江苏移动、海通证券、浙商银行、上海世博、广东电信研究院、浙江省烟草专卖局、浙江省农村信用合作社、浙江地区多家城市商业银行、国家电力科学研究院、浙江省科技厅等。
从业经历:
现任某信息技术有限公司安全服务部经理,为客户提供IT风险管理与控制、信息安全等咨询服务。曾在北大青鸟ACCP软件工程师认证培训讲师。
梁伟
谷安IT风险管理学院特聘高级讲师,超过7年的专业安全服务经验。在信息安全风险评估、ISMS体系建设、渗透测试和安全培训方面有较为丰富的经验。曾为多地的移动和电信省公司、奥组委等用户提供风险评估和渗透测试服务;为移动集团、电信研究院等用户提供安全培训;移动集团组织的全国技术大比武的出题人及培训讲师;为银河证券、中心证券、宏源证券、上海期货交易所等用户提供安全建设和咨询服务。
现任某信息技术有限公司咨询顾问部总监,主要为用户提供安全咨询、培训等服务。项目经验包括:军工保密资格认证中心、浙江烟草、中国移动研究院等用户的相关安全规范的咨询及编写工作,某大型企业的内部云计算平台的安全咨询与规划工作。
张小孟
谷安天下IT风险管理学院特聘讲师,信息安全资深专家, ISO27001:2005主任审核员;获取浙江省等级保护测试师资质;目前为OWASP中国分会会员、幻影旅团(ph4nt0m)成员;超过6年的WEB安全评估和渗透测试以及培训经验。奥组委安全专家小组成员,先后给奥组委,中国移动,电信,金融和国企进行过各类深度安全培训并且取得良好的反馈。
从业经历:
现任某信息技术有限公司服务中心总监,项目经验包括北京奥运网安全检测;中国出口信用保险安全检测;北京市公安局及下属单位安全检测;中国石油管理公司整体安全服务;公安部60周年全国WEB应用安全大检查;浙江移动内部平台53个应用系统安全服务;浙江省政府安全检测;浙江省网通安全检测。
冯老师
谷安天下IT风险管理学院特聘讲师,信息安全资深专家,银联卡账户信息安全合规评估师,ISO 27001 主任审核员,CISP,思科-BSCI证书。7年信息安全领域从业经验,主要从事安全咨询,信息安全标准,信息安全管理,信息安全策略与制度建设,信息安全规划与体系建设,信息安全风险评估、信息安全加固、应急预案评估、安全审计、安全培训等安全服务。曾服务的主要客户有中国电信、华泰证券、浙江省银监局、中国银联支付、浙江省工商局、浙江省国税局、浙江省烟草专卖局、浙江地区多家城市商业银行等。
从业经历:
曾任绿盟科技信息技术有限公司高级安全顾问,为客户提供IT风险管理与控制、信息安全等咨询服务。
现任某信息技术有限公司高级安全顾问/资深行业咨询经理,主要负责为客户提供安全技术解决方案、安全管理咨询与服务。
