
软件安全的设计与开发
软件安全的设计与开发
开课时间:08/23-24日
授课讲师:
陈国星
在线报名
报名电话:020-38931912
课程技能测试(鲲测评)
课程介绍
课程描述:
本课程在主动的安全开发框架指导下,深入剖析软件开发生命周期各阶段的安全细节问题,理解协同构建安全系统的方法。并通过大量的动手实操和相关案例贯穿所有的理论知识,使学员熟练掌握代码安全漏洞分析、编程规范、代码质量问题分析、安全设计与防御常见问题及解决方法。
本课程在主动的安全开发框架指导下,深入剖析软件开发生命周期各阶段的安全细节问题,理解协同构建安全系统的方法。并通过大量的动手实操和相关案例贯穿所有的理论知识,使学员熟练掌握代码安全漏洞分析、编程规范、代码质量问题分析、安全设计与防御常见问题及解决方法。
授课对象:
1)IT企业中的技术负责人;
2)软件架构师、系统分析师、资深开发人员、测试人员;
3)信息技术安全部门的相关人员;
4)大专院校或科研院所相关专业的教师、研究人员;
5)对信息行业安全问题感兴趣的人员。
1)IT企业中的技术负责人;
2)软件架构师、系统分析师、资深开发人员、测试人员;
3)信息技术安全部门的相关人员;
4)大专院校或科研院所相关专业的教师、研究人员;
5)对信息行业安全问题感兴趣的人员。
课程内容
全部展开
第1天
安全基础
常见的Web攻击手段


服务器分等级隔离部署策略
应用部署的目录要求
服务器开放账号最小特权权限
端口白名单开放策略
不同权限级别用户增加额外访问控制
公共配置存储的安全
检测指定web应用是否开放非必须的http方法
http trace方法开放测试
关闭后台调试信息
应用上传路径的安全监控
应用部署的目录要求
服务器开放账号最小特权权限
端口白名单开放策略
不同权限级别用户增加额外访问控制
公共配置存储的安全
检测指定web应用是否开放非必须的http方法
http trace方法开放测试
关闭后台调试信息
应用上传路径的安全监控


Web应用十大安全漏洞分类:客户端安全和服务器端安全
客户端安全


浏览器厂商对安全的日渐重视
同源策略
浏览器沙箱
恶意网址拦截
基于浏览器自身安全机制的提升
同源策略
浏览器沙箱
恶意网址拦截
基于浏览器自身安全机制的提升


什么是XSS
XSS为什么是一种热门攻击手段
XSS Payload的定义
Cookie劫持
XSS钓鱼
常见的CSS攻击平台
XSS Worm
XSS构造技巧
如何防御XSS
XSS为什么是一种热门攻击手段
XSS Payload的定义
Cookie劫持
XSS钓鱼
常见的CSS攻击平台
XSS Worm
XSS构造技巧
如何防御XSS
【案例】XSS攻击与防范


什么是输入验证
输入验证的必要性
输入验证漏洞的主要类型以及修复建议
输入验证用到的常用技术
输入验证的必要性
输入验证漏洞的主要类型以及修复建议
输入验证用到的常用技术


什么是输出验证
输出验证的必要性
输出验证的最佳实际
与输出验证相关的漏洞
如何验证输出验证
输出验证的必要性
输出验证的最佳实际
与输出验证相关的漏洞
如何验证输出验证


CSRF定义
CSRF可以做什么
CSRF漏洞现状
CSRF的攻击原理
如何防御CSRF
CSRF与XSS的比较
CSRF可以做什么
CSRF漏洞现状
CSRF的攻击原理
如何防御CSRF
CSRF与XSS的比较
【案例】CSRF修改用户密码以及防范措施


什么是钓鱼攻击
钓鱼攻击的一般步骤
目前钓鱼攻击的调查报告统计
钓鱼攻击有哪些常见的方法
钓鱼攻击的一般步骤
目前钓鱼攻击的调查报告统计
钓鱼攻击有哪些常见的方法
【案例】钓鱼攻击


点击劫持的定义
常见的点击劫持分类
常见的点击劫持分类


Iframe sandbox机制
Canvas
PostMessage跨窗口消息传递
WebStorage本地存储
Canvas
PostMessage跨窗口消息传递
WebStorage本地存储
【案例】Noreferer问题演示与防范
第2天
服务器端安全


SQL注入定义
SQL注入目的
常用的SQL注入语句
SQL注入方式
注入思路分析
SQL盲注与一般SQL注入的区别
如何防御SQL注入
SQL注入目的
常用的SQL注入语句
SQL注入方式
注入思路分析
SQL盲注与一般SQL注入的区别
如何防御SQL注入
【案例】SQL注入与防范案例


文件上传漏洞的定义
因文件上传漏洞所带来的安全问题
必须具备的条件
文件上传漏洞包括哪些类型
如何防御文件上传漏洞
因文件上传漏洞所带来的安全问题
必须具备的条件
文件上传漏洞包括哪些类型
如何防御文件上传漏洞
【案例】文件上传漏洞实例


认证与会话管理
【案例】Session劫持与防范


不安全对象的引用
功能级的访问必须经过认证和鉴权
认证和鉴权必须在服务器端处理
采用最小化权限控制策略
应用程序运行账号和数据库连接账号的分离以及最小职权原则
操作系统文件的权限控制策略
访问控制的分类
垂直权限管理
水平权限管理
功能级的访问必须经过认证和鉴权
认证和鉴权必须在服务器端处理
采用最小化权限控制策略
应用程序运行账号和数据库连接账号的分离以及最小职权原则
操作系统文件的权限控制策略
访问控制的分类
垂直权限管理
水平权限管理


安全配置的定义
因安全配置错误引发的安全问题
如何防御安全配置错误引发的安全问题
因安全配置错误引发的安全问题
如何防御安全配置错误引发的安全问题
【案例】文件目录的安全问题


描述
所带来的危害
解决办法
所带来的危害
解决办法


案例
解决办法
解决办法


敏感信息的定义
敏感信息的危害
敏感信息的案例
如何解决敏感信息泄露引发的问题
如何进行敏感信息泄露的测试
代码中的敏感数据
禁止明文存储密钥和口令
禁止Cookie中存储明文形式敏感数据
安全的加密算法推荐
日志中敏感数据存储
敏感数据禁止缓存到页面
敏感数据表单提交规则
使用带证书的SSL
禁止URL中携带敏感信息
敏感信息的危害
敏感信息的案例
如何解决敏感信息泄露引发的问题
如何进行敏感信息泄露的测试
代码中的敏感数据
禁止明文存储密钥和口令
禁止Cookie中存储明文形式敏感数据
安全的加密算法推荐
日志中敏感数据存储
敏感数据禁止缓存到页面
敏感数据表单提交规则
使用带证书的SSL
禁止URL中携带敏感信息


网络层的拒绝服务攻击
应用层的拒绝服务攻击
如何防范应用层的拒绝服务攻击
应用层的拒绝服务攻击
如何防范应用层的拒绝服务攻击


安全事件和操作事件的记录
安全日志的访问权限控制
安全日志的分析
安全日志的访问权限控制
安全日志的分析
讲师简介

陈国星
研发迭代领域专家
互联网创业公司团队管理领域专家
阿里云企业级互联网架构认证专家
阿里云受邀讲师
软件安全架构领域专家
互联网创业公司团队管理领域专家
阿里云企业级互联网架构认证专家
阿里云受邀讲师
软件安全架构领域专家
曾参与广东省智慧城市建设项目、教育行业云平台与虚拟化平台建设、基于IOT在美妆行业的平台建设、基于微服务架构的数据与服务共享平台建设。
精通大型分布式应用架构设计与技术研发。对于大规模分布式架构、微服务架构、软件安全架构设计等方向特别有研究,尤其对于高并发应用有丰富的架构经验。擅长Java开发技能体系、软件架构、微服务、软件工程和研发团队管理,长期为某上市集团公司提供项目管理和架构顾问支持,曾在麦当劳、迪士尼、科海股份、花样年集团、中国电信等企业做过上门的项目服务,咨询及培训服务过300多家成长型企事业单位。现为中睿信息CTO,高级技术顾问,首席系统架构师和资深讲师。