WEB网站与应用安全原理培训
WEB网站与应用安全原理培训
 
培训简介：
Web网站的安全体系框架原理你了解么
如何规划资源，建立合理的安全防范层次
Web网站的攻击手段有哪些
如何预先检查可能存在的网站漏洞
如何建立完整的web网站防护措施
如何监视并报告当前正在发生的攻击
当攻击发生的时候，如何进行内层防护web网站
如何建立web网站资源的安全配置
如何进行安全连接加密
如何防止SQL注入攻击
如何防止阻塞攻击
如何防止密码破译
如何防止木马程序的注入
如何建立
如何进行安全审计
如何培养人员安全意识
培训内容：
 
安全意识
安全相关案例解读
黑客组织：窃取Sun电子邮件 存储在中国境内
SSL系统遭入侵发布虚假密钥
RSA高管呼吁采用新的信息安全方法
Oracle周二将发布批量补丁 影响数百款产品
微软高信度计算
案例讨论：2010 最突出的10项安全漏洞
安全原理：威胁建模
标识资源（敏感数据）
创建总体体系结构
分解应用程序标识特权代码
识别威胁
记录威胁
评价威胁
练习：对“网银”系统进行威胁建模
如何检查web应用漏洞
常见的操作系统漏洞和检查方法
常见的数据库漏洞和检查方法
Web服务漏洞和检查方法
网络通信漏洞和检查方法
配置文件漏洞和检查方法
其他资源漏洞和检查方法
常见攻击工具
Mpack
Neosploit
ZeuS
Nukesploit P4ck
Phoenix
常见安全检查工具
IBM Rational AppScan
WebInspect
NStalker-WAS
Acunetix Web Vulnerability Scanner
练习：使用AppScan检查WEB应用安全漏洞
基础技能
加密解密
散列原理与算法
基于证书的签名与加密
访问权限列表（ACL）
安全协议：SSL，IPSec，Kerberos协议
网络威胁与对策
网络组件：路由器、防火墙和交换机
信息收集
探查
欺骗
会话劫持
中间人攻击
练习：使用网络探测器
主机威胁与对策
病毒、特洛伊木马和蠕虫
信息收集
破解密码
拒绝服务
任意执行代码
未授权访问
讨论：红色代码病毒及其危害
WEB应用常见威胁及其对策
输入验证: 缓冲区溢出攻击
跨站点脚本编写
SQL注入攻击
标准化漏洞
身份验证相关的威胁及其对策
针对授权的威胁及其对策
针对配置管理的威胁及对策
安全的加密
对抗针对操作查询字符串 的威胁
异常处理
练习：针对“网银系统”漏洞发起相关攻击
进行安全审计
使用日志跟踪安全相关事件
将日志写入文件/数据库
使用系统安全日志
做好开发层次安全
代码访问安全
用户验证
输入检查
应用安全规则进行静态代码安全隐患分析
线程安全
针对URL授权
序列化/反序列化安全
代码混淆
练习：1）使用代码混淆器2）针对“网银系统”漏洞继续发起攻击；3）应用安全规则自查
培养安全意识
建立安全管理和开发、维护规范
及时发现安全事件
按照合理的流程处理安全问题
把安全降低到最小影响