我要預訂

咨詢電話：027-5111 9925 , 027-5111 9926手機：18971071887郵箱：Service@mingketang.com

【課程背景】

隨著互聯網時代的到來，企業的應用也逐步轉向互聯網，以互聯網形式開放給用戶進行使用？而互聯網帶來最大的問題就是安全問題，企業如何解決互聯網應用的安全問題？

本課程在主動的安全開發框架指導下，深入剖析軟件開發生命周期各階段的安全細節問題，理解協同構建安全系統的方法。并通過大量的動手實操和相關案例貫穿所有的理論知識，使學員熟練掌握代碼安全漏洞分析、編程規范、代碼質量問題分析、安全設計與防御常見問題及解決方法。

【課程收益】

學會分析軟件安全脆弱性產生的根源

展示多種攻擊軟件的手段、指出軟件開發過程中不同人員在設計和開發中常犯的錯誤

探討當前軟件安全界關注的熱點問題

總結和提高軟件質量和安全性的指導思想、開發策略、技術路線和實施方法

掌握代碼安全典型漏洞

安全漏洞攻防演練

掌握通用代碼編程規范

能夠對代碼進行質量問題分析

掌握項目的安全設計與防御

【課程對象】

IT技術負責人、軟件架構師、系統分析師、資深開發人員、測試人員、信息技術安全部門的相關人員

【課程大綱】

一、安全知識背景

1、安全基礎

當前企業面臨的安全態勢分析

安全分類

Top 10安全問題分析

安全案例分析

2、常見的Web攻擊手段

二、服務器&瀏覽器安全

1、服務器安全

服務器分等級隔離部署策略

應用部署的目錄要求

服務器開放賬號最小特權權限

端口白名單開放策略

不同權限級別用戶增加額外訪問控制

公共配置存儲的安全

檢測指定web應用是否開放非必須的http方法

http trace方法開放測試

關閉后臺調試信息

應用上傳路徑的安全監控

2、瀏覽器安全

瀏覽器廠商對安全的日漸重視

同源策略

瀏覽器沙箱

惡意網址攔截

基于瀏覽器自身安全機制的提升

三、常用安全漏洞的攻與防-客戶端安全

1、跨站腳本攻擊(XSS)

什么是XSS

XSS為什么是一種熱門攻擊手段

XSS Payload的定義

Cookie劫持

XSS釣魚

常見的CSS攻擊平臺

XSS Worm

XSS構造技巧

如何防御XSS

實戰：XSS攻擊與防范實戰

2、跨站請求偽造(CSRF)

CSRF定義

CSRF可以做什么

CSRF漏洞現狀

CSRF的攻擊原理

如何防御CSRF

CSRF與XSS的比較

實戰：CSRF修改用戶密碼以及防范措施

3、釣魚攻擊

什么是釣魚攻擊

釣魚攻擊的一般步驟

目前釣魚攻擊的調查報告統計

釣魚攻擊有哪些常見的方法

案例：釣魚攻擊

4、點擊劫持

點擊劫持的定義

常見的點擊劫持分類

5、HTML5安全

Iframe sandbox機制

Canvas

PostMessage跨窗口消息傳遞

WebStorage本地存儲

案例：Noreferer問題演示與防范

四、常用安全漏洞的攻與防-服務端安全

1、SQL注入

SQL注入定義

SQL注入目的

常用的SQL注入語句

SQL注入方式

注入思路分析

SQL盲注與一般SQL注入的區別

如何防御SQL注入

實戰：SQL注入攻擊與防范實戰

2、文件上傳和下載漏洞

文件上傳漏洞的定義

因文件上傳漏洞所帶來的安全問題

必須具備的條件

文件上傳漏洞包括哪些類型

如何防御文件上傳漏洞

實戰：文件上傳和下載漏洞注入攻擊與防范實戰

3、認證與會話管理

認證與授權的定義

認證分類

密碼認證的優缺點

密碼設計應遵循的原則

密碼出錯策略設置

密碼輸入框的密文顯示

密碼的加密存儲

密碼的加密傳輸

初始化口令的要求

驗證碼的安全使用

認證處理模塊的合法性校驗及認證結果返回要求

關鍵事務處理的多級認證和強身份認證

會話重寫

用戶賬號的鎖定策略

Session機制詳解

Session常用的攻擊漏洞

獲取sessionid的兩種手段

注銷時會話清除

單點登錄

如何進行認證測試

不安全的數據傳輸

服務端業務處理的流程順序限制

案例：Session劫持與防范

4、訪問控制

不安全對象的引用

功能級的訪問必須經過認證和鑒權

認證和鑒權必須在服務器端處理

采用最小化權限控制策略

應用程序運行賬號和數據庫連接賬號的分離以及最小職權原則

操作系統文件的權限控制策略

訪問控制的分類

垂直權限管理

水平權限管理

5、安全配置錯誤

安全配置的定義

因安全配置錯誤引發的安全問題

如何防御安全配置錯誤引發的安全問題

案例：文件目錄的安全問題

6、使用含有已知漏洞的組件

描述

所帶來的危害

解決辦法

7、未驗證的重定向和轉發

案例

解決辦法

8、敏感信息泄露

敏感信息的定義

敏感信息的危害

敏感信息的案例

如何解決敏感信息泄露引發的問題

如何進行敏感信息泄露的測試

代碼中的敏感數據

禁止明文存儲密鑰和口令

禁止Cookie中存儲明文形式敏感數據

安全的加密算法推薦

日志中敏感數據存儲

敏感數據禁止緩存到頁面

敏感數據表單提交規則

使用帶證書的SSL

禁止URL中攜帶敏感信息

9、拒絕服務攻擊

網絡層的拒絕服務攻擊

應用層的拒絕服務攻擊

如何防范應用層的拒絕服務攻擊

10、安全審計

安全事件和操作事件的記錄

安全日志的訪問權限控制

安全日志的分析

陳老師

陳國星老師

——企業IT團隊技能提升引領者

曾任國內通信行業上市公司 廣東融合通信 技術負責人

華為（運營商5G云改云原生方向） 簽約講師

阿里云（paas產品）特約講師

阿里云企業級互聯網架構認證專家

研發迭代領域專家

軟件安全架構領域專家

【個人簡介】

陳國星老師擁有15年IT研發經驗，11年IT架構與管理經驗，8年IT企業培訓經驗，負責企業IT團隊技術類課程交付，涉及運營商、銀行、證券、央企、事業單位等世界500強企業，包括新員工入職專題類的技術類崗位課程全流程跟進與實施、企業老員工IT專業技能提升（Java方向）、架構設計、微服務、DevOps、云原生、大數據等專題，與業內知名企業阿里、華為、企培行業頭部企業建立長期的企業培訓渠道深度合作模式。

曾主導南方電網互聯網客戶服務平臺和新型客戶統一模型建設、大型集團公司基于微服務架構的業務中臺和數據中臺建設、廣東省智慧城市建設項目、教育行業云平臺與虛擬化平臺建設、基于IOT在美妝行業的平臺建設。

精通大型分布式應用架構設計與技術研發。對于大規模分布式架構、微服務架構、軟件安全架構設計等方向特別有研究，尤其對于高并發應用有豐富的架構與落地經驗。擅長Java開發技能體系、軟件架構、微服務、軟件工程和研發團隊管理，長期為某上市集團公司提供項目管理和架構顧問支持。

熟悉阿里云相關技術棧，有過多次中型項目阿里公有云上云經驗；熟悉騰訊云的私有化架構，有過互聯網大型項目的私有化落地實施經驗。

曾在平安證券、中國電信、中國移動、中國聯通、工商銀行、中國銀行、中數通、花樣年集團等企業做過上門的項目服務，咨詢及培訓服務過300多家成長型企事業單位?，F任某上市公司技術負責人，高級技術顧問，首席系統架構師。

【授課風格】

專業性強：憑借多年互聯網公司的從業經驗，結合多年服務于世界500強企業IT咨詢與培訓經驗，能深刻理解大型企業的IT團隊訴求，幫企業一起深入打造企業IT團隊的金字塔模型。

實用落地：憑借15年豐富的工作經驗、項目經驗，成為技術實戰、實操、實用、實施專家。

引導啟發：理論結合實戰的方式帶領學員一起，讓學員得到事半功倍的收獲。授課條理清晰，深入淺出，通過一個或多個實際案例貫穿整個課程，語言表達能力強。

對癥下藥：善于捕捉學員痛點，從痛點分析到痛點解決，來調動學員學習積極性；思維敏捷，可以根據學生的實際需求隨即應變。

風趣幽默：輕松愉快，深入淺出；生動活潑，通俗易懂；談笑風生，印象深刻。

【主講課程】

軟件研發系列

《Java web核心應用開發培訓》

《Java企業應用進階與實戰》

《Java企業應用利器之SpringBoot實戰》

《SpringCloud應用開發實戰》

《JVM深入剖析與調優實戰》

《MySQL數據庫高級應用開發與性能優化實戰》

架構設計系列

《微服務架構設計與實戰》

《大規模分布式系統架構與實踐》

《互聯網中間件和開源技術進階》

《ElasticSearch應用與實戰》

《基于ELK的實時日志分析平臺》

《Kafka應用與實戰》

《軟件安全設計與開發》

【服務客戶】

運營商類：中國移動（總部及各省級單位）、中國聯通（江蘇聯通、佛山聯通）、中國電信（廣東省電信、河北電信）

銀行類：工商銀行（廣東省行、深圳分行）、中國銀行（深圳分行）、建設銀行、華商銀行（深圳分行）、農業銀行（東莞、佛山、南海分行）、廣州農商行、東莞農商行、廣東省郵政

證券&保險：深圳平安證券、平安科技、深圳南方基金、中國人保、招商證券、招商信諾

航空類：南方航空、深圳航空、9元航空、中航信

其它類：重慶賽迪、格力集團 、中國數字通信

我要預訂

咨詢電話：027-5111 9925 , 027-5111 9926手機：18971071887郵箱：Service@mingketang.com