《軟件安全設計與開發(fā)實戰(zhàn)》

《軟件安全設計與開發(fā)實戰(zhàn)》
快速掌握軟件過程中的安全設計和安全編碼
主講：陳國星
【課程背景】
隨著互聯(lián)網(wǎng)時代的到來，企業(yè)的應用也逐步轉向互聯(lián)網(wǎng)，以互聯(lián)網(wǎng)形式開放給用戶進行使用？而互聯(lián)網(wǎng)帶來最大的問題就是安全問題，企業(yè)如何解決互聯(lián)網(wǎng)應用的安全問題？
本課程在主動的安全開發(fā)框架指導下，深入剖析軟件開發(fā)生命周期各階段的安全細節(jié)問題，理解協(xié)同構建安全系統(tǒng)的方法。并通過大量的動手實操和相關案例貫穿所有的理論知識，使學員熟練掌握代碼安全漏洞分析、編程規(guī)范、代碼質量問題分析、安全設計與防御常見問題及解決方法。
【課程收益】
學會分析軟件安全脆弱性產(chǎn)生的根源
展示多種攻擊軟件的手段、指出軟件開發(fā)過程中不同人員在設計和開發(fā)中常犯的錯誤
探討當前軟件安全界關注的熱點問題總結和提高軟件質量和安全性的指導思想、開發(fā)策略、技術路線和實施方法
掌握代碼安全典型漏洞
安全漏洞攻防演練
掌握通用代碼編程規(guī)范
能夠對代碼進行質量問題分析
掌握項目的安全設計與防御
【課程對象】IT技術負責人、軟件架構師、系統(tǒng)分析師、資深開發(fā)人員、測試人員、信息技術安全部門的相關人員
【課程時間】2天
【課程大綱】
一、安全知識背景
1、安全基礎
當前企業(yè)面臨的安全態(tài)勢分析
安全分類
Top 10安全問題分析
安全案例分析
2、常見的Web攻擊手段
二、服務器&瀏覽器安全
1、服務器安全
服務器分等級隔離部署策略
應用部署的目錄要求
服務器開放賬號最小特權權限
端口白名單開放策略
不同權限級別用戶增加額外訪問控制
公共配置存儲的安全
檢測指定web應用是否開放非必須的http方法
http trace方法開放測試
關閉后臺調試信息
應用上傳路徑的安全監(jiān)控
2、瀏覽器安全
瀏覽器廠商對安全的日漸重視
同源策略
瀏覽器沙箱
惡意網(wǎng)址攔截
基于瀏覽器自身安全機制的提升
三、常用安全漏洞的攻與防-客戶端安全
1、跨站腳本攻擊(XSS)
什么是XSS
XSS為什么是一種熱門攻擊手段
XSS Payload的定義
Cookie劫持
XSS釣魚
常見的CSS攻擊平臺
XSS Worm
XSS構造技巧
如何防御XSS
實戰(zhàn)：XSS攻擊與防范實戰(zhàn)
2、跨站請求偽造(CSRF)
CSRF定義
CSRF可以做什么
CSRF漏洞現(xiàn)狀
CSRF的攻擊原理
如何防御CSRF
CSRF與XSS的比較
實戰(zhàn)：CSRF修改用戶密碼以及防范措施
3、釣魚攻擊
什么是釣魚攻擊
釣魚攻擊的一般步驟
目前釣魚攻擊的調查報告統(tǒng)計
釣魚攻擊有哪些常見的方法
案例：釣魚攻擊
4、點擊劫持
點擊劫持的定義
常見的點擊劫持分類
5、HTML5安全
Iframe sandbox機制
Canvas
PostMessage跨窗口消息傳遞
WebStorage本地存儲
案例：Noreferer問題演示與防范
四、常用安全漏洞的攻與防-服務端安全
1、SQL注入
SQL注入定義
SQL注入目的
常用的SQL注入語句
SQL注入方式
注入思路分析
SQL盲注與一般SQL注入的區(qū)別
如何防御SQL注入
實戰(zhàn)：SQL注入攻擊與防范實戰(zhàn)
2、文件上傳和下載漏洞
文件上傳漏洞的定義
因文件上傳漏洞所帶來的安全問題
必須具備的條件
文件上傳漏洞包括哪些類型
如何防御文件上傳漏洞
實戰(zhàn)：文件上傳和下載漏洞注入攻擊與防范實戰(zhàn)
3、認證與會話管理
認證與授權的定義
認證分類
密碼認證的優(yōu)缺點
密碼設計應遵循的原則
密碼出錯策略設置
密碼輸入框的密文顯示
密碼的加密存儲
密碼的加密傳輸
初始化口令的要求
驗證碼的安全使用
認證處理模塊的合法性校驗及認證結果返回要求
關鍵事務處理的多級認證和強身份認證
會話重寫
用戶賬號的鎖定策略
Session機制詳解
Session常用的攻擊漏洞
獲取sessionid的兩種手段
注銷時會話清除
單點登錄
如何進行認證測試
不安全的數(shù)據(jù)傳輸
服務端業(yè)務處理的流程順序限制
案例：Session劫持與防范
4、訪問控制
不安全對象的引用
功能級的訪問必須經(jīng)過認證和鑒權
認證和鑒權必須在服務器端處理
采用最小化權限控制策略
應用程序運行賬號和數(shù)據(jù)庫連接賬號的分離以及最小職權原則
操作系統(tǒng)文件的權限控制策略
訪問控制的分類
垂直權限管理
水平權限管理
5、安全配置錯誤
安全配置的定義
因安全配置錯誤引發(fā)的安全問題
如何防御安全配置錯誤引發(fā)的安全問題
案例：文件目錄的安全問題
6、使用含有已知漏洞的組件
描述
所帶來的危害
解決辦法
7、未驗證的重定向和轉發(fā)
案例
解決辦法
8、敏感信息泄露
敏感信息的定義
敏感信息的危害
敏感信息的案例
如何解決敏感信息泄露引發(fā)的問題
如何進行敏感信息泄露的測試
代碼中的敏感數(shù)據(jù)
禁止明文存儲密鑰和口令
禁止Cookie中存儲明文形式敏感數(shù)據(jù)
安全的加密算法推薦
日志中敏感數(shù)據(jù)存儲
敏感數(shù)據(jù)禁止緩存到頁面
敏感數(shù)據(jù)表單提交規(guī)則
使用帶證書的SSL
禁止URL中攜帶敏感信息
9、拒絕服務攻擊
網(wǎng)絡層的拒絕服務攻擊
應用層的拒絕服務攻擊
如何防范應用層的拒絕服務攻擊
10、安全審計
安全事件和操作事件的記錄
安全日志的訪問權限控制
安全日志的分析

陳國星老師的其它課程