软件安全设计与开发实战

我要预订

咨询电话：027-5111 9925 , 027-5111 9926手机：18971071887邮箱：Service@mingketang.com

【课程背景】

随着互联网时代的到来，企业的应用也逐步转向互联网，以互联网形式开放给用户进行使用？而互联网带来最大的问题就是安全问题，企业如何解决互联网应用的安全问题？

本课程在主动的安全开发框架指导下，深入剖析软件开发生命周期各阶段的安全细节问题，理解协同构建安全系统的方法。并通过大量的动手实操和相关案例贯穿所有的理论知识，使学员熟练掌握代码安全漏洞分析、编程规范、代码质量问题分析、安全设计与防御常见问题及解决方法。

【课程收益】

学会分析软件安全脆弱性产生的根源

展示多种攻击软件的手段、指出软件开发过程中不同人员在设计和开发中常犯的错误

探讨当前软件安全界关注的热点问题

总结和提高软件质量和安全性的指导思想、开发策略、技术路线和实施方法

掌握代码安全典型漏洞

安全漏洞攻防演练

掌握通用代码编程规范

能够对代码进行质量问题分析

掌握项目的安全设计与防御

【课程对象】

IT技术负责人、软件架构师、系统分析师、资深开发人员、测试人员、信息技术安全部门的相关人员

【课程大纲】

一、安全知识背景

1、安全基础

当前企业面临的安全态势分析

安全分类

Top 10安全问题分析

安全案例分析

2、常见的Web攻击手段

二、服务器&浏览器安全

1、服务器安全

服务器分等级隔离部署策略

应用部署的目录要求

服务器开放账号最小特权权限

端口白名单开放策略

不同权限级别用户增加额外访问控制

公共配置存储的安全

检测指定web应用是否开放非必须的http方法

http trace方法开放测试

关闭后台调试信息

应用上传路径的安全监控

2、浏览器安全

浏览器厂商对安全的日渐重视

同源策略

浏览器沙箱

恶意网址拦截

基于浏览器自身安全机制的提升

三、常用安全漏洞的攻与防-客户端安全

1、跨站脚本攻击(XSS)

什么是XSS

XSS为什么是一种热门攻击手段

XSS Payload的定义

Cookie劫持

XSS钓鱼

常见的CSS攻击平台

XSS Worm

XSS构造技巧

如何防御XSS

实战：XSS攻击与防范实战

2、跨站请求伪造(CSRF)

CSRF定义

CSRF可以做什么

CSRF漏洞现状

CSRF的攻击原理

如何防御CSRF

CSRF与XSS的比较

实战：CSRF修改用户密码以及防范措施

3、钓鱼攻击

什么是钓鱼攻击

钓鱼攻击的一般步骤

目前钓鱼攻击的调查报告统计

钓鱼攻击有哪些常见的方法

案例：钓鱼攻击

4、点击劫持

点击劫持的定义

常见的点击劫持分类

5、HTML5安全

Iframe sandbox机制

Canvas

PostMessage跨窗口消息传递

WebStorage本地存储

案例：Noreferer问题演示与防范

四、常用安全漏洞的攻与防-服务端安全

1、SQL注入

SQL注入定义

SQL注入目的

常用的SQL注入语句

SQL注入方式

注入思路分析

SQL盲注与一般SQL注入的区别

如何防御SQL注入

实战：SQL注入攻击与防范实战

2、文件上传和下载漏洞

文件上传漏洞的定义

因文件上传漏洞所带来的安全问题

必须具备的条件

文件上传漏洞包括哪些类型

如何防御文件上传漏洞

实战：文件上传和下载漏洞注入攻击与防范实战

3、认证与会话管理

认证与授权的定义

认证分类

密码认证的优缺点

密码设计应遵循的原则

密码出错策略设置

密码输入框的密文显示

密码的加密存储

密码的加密传输

初始化口令的要求

验证码的安全使用

认证处理模块的合法性校验及认证结果返回要求

关键事务处理的多级认证和强身份认证

会话重写

用户账号的锁定策略

Session机制详解

Session常用的攻击漏洞

获取sessionid的两种手段

注销时会话清除

单点登录

如何进行认证测试

不安全的数据传输

服务端业务处理的流程顺序限制

案例：Session劫持与防范

4、访问控制

不安全对象的引用

功能级的访问必须经过认证和鉴权

认证和鉴权必须在服务器端处理

采用最小化权限控制策略

应用程序运行账号和数据库连接账号的分离以及最小职权原则

操作系统文件的权限控制策略

访问控制的分类

垂直权限管理

水平权限管理

5、安全配置错误

安全配置的定义

因安全配置错误引发的安全问题

如何防御安全配置错误引发的安全问题

案例：文件目录的安全问题

6、使用含有已知漏洞的组件

描述

所带来的危害

解决办法

7、未验证的重定向和转发

案例

解决办法

8、敏感信息泄露

敏感信息的定义

敏感信息的危害

敏感信息的案例

如何解决敏感信息泄露引发的问题

如何进行敏感信息泄露的测试

代码中的敏感数据

禁止明文存储密钥和口令

禁止Cookie中存储明文形式敏感数据

安全的加密算法推荐

日志中敏感数据存储

敏感数据禁止缓存到页面

敏感数据表单提交规则

使用带证书的SSL

禁止URL中携带敏感信息

9、拒绝服务攻击

网络层的拒绝服务攻击

应用层的拒绝服务攻击

如何防范应用层的拒绝服务攻击

10、安全审计

安全事件和操作事件的记录

安全日志的访问权限控制

安全日志的分析

陈老师

陈国星老师

——企业IT团队技能提升引领者

曾任国内通信行业上市公司 广东融合通信 技术负责人

华为（运营商5G云改云原生方向） 签约讲师

阿里云（paas产品）特约讲师

阿里云企业级互联网架构认证专家

研发迭代领域专家

软件安全架构领域专家

【个人简介】

陈国星老师拥有15年IT研发经验，11年IT架构与管理经验，8年IT企业培训经验，负责企业IT团队技术类课程交付，涉及运营商、银行、证券、央企、事业单位等世界500强企业，包括新员工入职专题类的技术类岗位课程全流程跟进与实施、企业老员工IT专业技能提升（Java方向）、架构设计、微服务、DevOps、云原生、大数据等专题，与业内知名企业阿里、华为、企培行业头部企业建立长期的企业培训渠道深度合作模式。

曾主导南方电网互联网客户服务平台和新型客户统一模型建设、大型集团公司基于微服务架构的业务中台和数据中台建设、广东省智慧城市建设项目、教育行业云平台与虚拟化平台建设、基于IOT在美妆行业的平台建设。

精通大型分布式应用架构设计与技术研发。对于大规模分布式架构、微服务架构、软件安全架构设计等方向特别有研究，尤其对于高并发应用有丰富的架构与落地经验。擅长Java开发技能体系、软件架构、微服务、软件工程和研发团队管理，长期为某上市集团公司提供项目管理和架构顾问支持。

熟悉阿里云相关技术栈，有过多次中型项目阿里公有云上云经验；熟悉腾讯云的私有化架构，有过互联网大型项目的私有化落地实施经验。

曾在平安证券、中国电信、中国移动、中国联通、工商银行、中国银行、中数通、花样年集团等企业做过上门的项目服务，咨询及培训服务过300多家成长型企事业单位。现任某上市公司技术负责人，高级技术顾问，首席系统架构师。

【授课风格】

专业性强：凭借多年互联网公司的从业经验，结合多年服务于世界500强企业IT咨询与培训经验，能深刻理解大型企业的IT团队诉求，帮企业一起深入打造企业IT团队的金字塔模型。

实用落地：凭借15年丰富的工作经验、项目经验，成为技术实战、实操、实用、实施专家。

引导启发：理论结合实战的方式带领学员一起，让学员得到事半功倍的收获。授课条理清晰，深入浅出，通过一个或多个实际案例贯穿整个课程，语言表达能力强。

对症下药：善于捕捉学员痛点，从痛点分析到痛点解决，来调动学员学习积极性；思维敏捷，可以根据学生的实际需求随即应变。

风趣幽默：轻松愉快，深入浅出；生动活泼，通俗易懂；谈笑风生，印象深刻。

【主讲课程】

软件研发系列

《Java web核心应用开发培训》

《Java企业应用进阶与实战》

《Java企业应用利器之SpringBoot实战》

《SpringCloud应用开发实战》

《JVM深入剖析与调优实战》

《MySQL数据库高级应用开发与性能优化实战》

架构设计系列

《微服务架构设计与实战》

《大规模分布式系统架构与实践》

《互联网中间件和开源技术进阶》

《ElasticSearch应用与实战》

《基于ELK的实时日志分析平台》

《Kafka应用与实战》

《软件安全设计与开发》

【服务客户】

运营商类：中国移动（总部及各省级单位）、中国联通（江苏联通、佛山联通）、中国电信（广东省电信、河北电信）

银行类：工商银行（广东省行、深圳分行）、中国银行（深圳分行）、建设银行、华商银行（深圳分行）、农业银行（东莞、佛山、南海分行）、广州农商行、东莞农商行、广东省邮政

证券&保险：深圳平安证券、平安科技、深圳南方基金、中国人保、招商证券、招商信诺

航空类：南方航空、深圳航空、9元航空、中航信

其它类：重庆赛迪、格力集团 、中国数字通信

我要预订

咨询电话：027-5111 9925 , 027-5111 9926手机：18971071887邮箱：Service@mingketang.com