大多数攻击出现在应用层并利用已知漏洞
应用安全是一种可供开发人员、测试人员与管理人员在其整个开发过程可用的多层方法论。我们基于计算机的培训课程(CBT)为开发人员、测试人员、项目经理和架构师准备了软件安全开发的最新知识,以培养员工的安全意识,使员工能够设计、创建和部署安全的软件和应用。用户可自行安排时间使用计算机访问课程,同时课程学习环境是高度互动的。
课程概述:
本课程描述了软件漏洞带来的种种风险,然后进一步讲述了特定安全控制措施与原理,开发团队可以将其立即实施用于降低软件风险,从而为安全软件开发打下基础。完成本门课程的学习,您将能够了解与识别应用程序威胁,利用OWASP十大列表来创建更安全的Web应用程序,在每个开发阶段执行特定操作来确保最大程度加固您的应用程序。了解攻击者思维模式与风险定义,认识管理软件安全风险的重要性与未能这样做的后果,挑战错误安全概念,了解常见安全漏洞与其缓解方法、安全原则、关键安全目标与安全控制及如何将安全性贯穿于软件开发生命周期(SDLC)。
完成本门课程的学习,学员将能够:
- 了解应用安全的相关技术、业务与管控层面驱动因素
- 了解应用程序攻击的结构解析
- 了解如何使用输入验证来作为主要应用程序风险缓解措施
- 了解关键输入验证方法与误区
- 识别常见应用程序攻击,并了解如何缓解其风险
- 了解针对开发安全应用程序的关键安全原则与最佳实践
目录:
课程概述与学习目标
一、概述
- 概述
- 什么是安全?
- 什么是软件安全?
- 消除安全缺陷所需成本
二、威胁术语
- 模块小节
三、挑战错误安全概念
- 挑战错误安全概念
- 不断变化的攻击属性
- 功能测试与安全测试
- 安全 bug
- 所有软件都存在Bug
- 补丁无法确保安全
- 内部威胁
- 模块小结
四、OWASP
- OWASP
- OWASP概述
五、SQL注入关键概念
- SQL注入关键概念
- 预防SQL注入
六、跨站脚本(XSS)关键概念
- 跨站脚本(XSS)关键概念
- XSS的影响
- 识别XSS缺陷
- 预防XSS缺陷
七、失效的认证与会话管理
- 会话劫持
- 预防会话劫持
- 会话固定示例
八、不安全的直接对象引用
- 不安全的直接对象引用关键概念
- 目录遍历
- 解决目录遍历问题
九、跨站请求伪造(CSRF)
- 跨站请求伪造(CSRF)关键概念
- 执行CSRF攻击
- 预防CSRF
十、安全配置错误
- 安全配置错误
- 安全配置错误:动态威胁环境
- 安全配置错误缓解方法:可重复性加固
十一、不安全的加密存储
十二、加密实施不当
十三、未能限制URL访问
十四、传输层保护不足
- 安全套接层与传输层安全(SSL与TLS)
- Internet协议安全(IPSec)
十五、未经验证的重定向与转发
- 未经验证的重定向与转发
- 未经验证的重定向与转发的缓解方法
- 表间接技术
十六、先前OWASP十大列表中的威胁
- 先前OWASP十大列表中的威胁
- 恶意软件
- 恶意文件执行
十七、信息泄露与错误处理不当
- 信息泄露与错误处理不当
- 预防信息泄露与错误处理不当
- 模块小结
十八、安全原则
- 安全原则
- 结构性安全
- 最小特权原则
- 测试所有内容
- 模块小结
十九、安全目标与安全控制
- 安全目标与安全控制
二十、认证
- 认证
- 认证注意事项
- 授权
二十一、授权注意事项
- 授权注意事项
- 模块小结
二十二、软件开发生命周期(SDLC)中的安全
- 软件开发生命周期(SDLC)中的安全
- 确立安全需求
- 威胁分类
- 优先排序威胁缓解
- 开发安全代码
- 安全测试概述
- 特定类型漏洞测试
- 使用安全测试工具
- 模块小结
端玛科技目前开放了AWA101 应用安全基础 与 COD231 跨站脚本介绍——JSP 两门试点课程,供所有人学习应用安全相关知识。想要学习该试点课程,请访问 http://116.236.180.243:999/dmca/elearning.html