WEB安全编码训练营课程
课程天数:2天
课程介绍
目前大部分公司都会通过WEB技术提供服务,但这些公司往往缺乏安全相关的技术团队,来为网络安全方面提供技术保障。尤其在开发过程中工程师忽略安全方面的考虑,导致线上网站服务器出现各种安全漏洞,留下安全隐患,对用户和公司都会造成不同程度的损失。
而互联网上也很少有WEB安全开发方面的的课程,本课程正是基于此总结了讲师在安全开发方面的经验,循序渐进的讲述大量实际发生的案例以及处理方案,来应对各种新奇攻击技术。从常见网络攻击、代码安全、后端应用安全、账户安全、等各方面提供了比较成熟的技术解决方案。
希望通过WEB安全编码训练营能够帮助开发者对整个网络安全有一个全新的认识和质的提升,从而成为一位懂安全、会防护的工程师,避免在工作当中成为黑客的攻击对象。
课程收益
编码安全:第一部分讲解开发者在编码过程当中产生的常见编码问题,包括SQL注入、命令执行、代码注入、XSS、文件上传、CSRF等,如何规避这些编码导致的信息安全问题。
业务设计安全:第二部分在设计一些业务时候,不仅仅是编码会产生安全漏洞,业务同样会产生大问题,比如常见越权漏洞,支付漏洞,验证码问题,这些问题其实在设计功能之初就应该考虑到项目计划中去。
知识拓展:第三部分主要内容是介绍攻击者在攻击服务器时,会在前期如何收集服务器信息,攻击者有哪些手段来挖掘漏洞,让学员能够快速了解漏洞是如何被发现的,我们如何避免此类问题的综合知识讲解。
培训对象
Web开发人员、渗透测试人员、安全开发、安全咨询顾问、软件测试、架构师、项目经理、设计人员。
课程大纲
1、安全意识教育
• 介绍常见的安全意识问题
• 攻击者常见的攻击手段
• 分析因安全意识导致的滲透案例
2、SQL注入
• SQL注入漏洞原理
• SQL注入漏洞测试方法
• 常见注入类型(字符、数字、搜索)
• 盲注(boolian base&time base)
• SQL-map使用介绍
• SQL注入防范措施
• 解决SQL注入的安全开发方法
3、命令执行
• 系统命令注入漏洞原理
• 系统命令漏洞测试方法
• 系统命令注入防范
• 解决系统命令注入的安全开发方法
4、代码注入
• 代码注入漏洞原理
• 代码注入漏洞测试方法
• include()
• eval()
• 代码注入防范措施
• 代码注入防御方法
5、文件上传/下载漏洞
• 不安全的上传漏洞
• 客户端验证问题
• 服务端验证问题
•(MIME type,getimagesize())
• 不安全的下载漏洞
• 防范措施
• 解决文件上传漏洞的安全开发方法
6、文件包含
• 文件包含漏洞原理
• 代码注入漏洞测试方法
• 远程文件包含
• 本地文件包含
• 文件包含防范措施
• 解决文件包含的安全开发方法
7、跨站脚本攻击(XSS)
• 跨站脚本漏洞原理
• 跨站脚本测试方法
• 反射性xss(get&post)
• 存储型xss
• dom型xss
• 防范措施
• 解决XSS的安全开发方法
8、跨站请求伪造(CSRF)
• 跨站请求伪造原理
• 跨站请求伪造测试方法
• csrf (get)
• csrf(post)
• 防范措施
• token是如何防止csrf的
• 解决CSRF的安全开发方法
9、暴力破解
• 暴力破解攻击及漏洞原理
• 暴力破解漏洞测试方法
• burp-suite使用介绍(基于表单的暴力破解演示)
• 不安全的验证码
• 防范措施
• 解决暴力破解的安全开发方法
10、组件安全
• 介绍组件高危安全问题
• 如Jenkins,weblogic等远程代码执行
11、验证码绕过
• 验证码漏洞成因
• 验证码不刷新
• 可重复验证
• 空值验证码
• 漏洞防范
12、越权
• 越权漏洞原理
• 越权漏洞测试方法
• 横向越权、水平越权
• 防范措施
13、密码找回
• 凭证暴力破解
• 凭证信息返回
• 邮箱弱token
• 凭证的有效性
• 手机号重新绑定
