您现在的位置是:首页 > 正文

应用安全基础

2024-04-01 00:50:30阅读 1

大多数攻击出现在应用层并利用已知漏洞

应用安全是一种可供开发人员、测试人员与管理人员在其整个开发过程可用的多层方法论。我们基于计算机的培训课程(CBT)为开发人员、测试人员、项目经理和架构师准备了软件安全开发的最新知识,以培养员工的安全意识,使员工能够设计、创建和部署安全的软件和应用。用户可自行安排时间使用计算机访问课程,同时课程学习环境是高度互动的。

课程概述:

       本课程描述了软件漏洞带来的种种风险,然后进一步讲述了特定安全控制措施与原理,开发团队可以将其立即实施用于降低软件风险,从而为安全软件开发打下基础。完成本门课程的学习,您将能够了解与识别应用程序威胁,利用OWASP十大列表来创建更安全的Web应用程序,在每个开发阶段执行特定操作来确保最大程度加固您的应用程序。了解攻击者思维模式与风险定义,认识管理软件安全风险的重要性与未能这样做的后果,挑战错误安全概念,了解常见安全漏洞与其缓解方法、安全原则、关键安全目标与安全控制及如何将安全性贯穿于软件开发生命周期(SDLC)。

课程学习目标

完成本门课程的学习,学员将能够:

  1. 了解应用安全的相关技术、业务与管控层面驱动因素
  2. 了解应用程序攻击的结构解析
  3. 了解如何使用输入验证来作为主要应用程序风险缓解措施
  4. 了解关键输入验证方法与误区
  5. 识别常见应用程序攻击,并了解如何缓解其风险
  6. 了解针对开发安全应用程序的关键安全原则与最佳实践

 

目录

课程概述与学习目标

一、概述

  1. 概述
  2. 什么是安全?
  3. 什么是软件安全?
  4. 消除安全缺陷所需成本

二、威胁术语

  1. 模块小节

三、挑战错误安全概念

  1. 挑战错误安全概念
  2. 不断变化的攻击属性
  3. 功能测试与安全测试
  4. 安全 bug
  5. 所有软件都存在Bug
  6. 补丁无法确保安全
  7. 内部威胁
  8. 模块小结

四、OWASP

  1. OWASP
  2. OWASP概述

五、SQL注入关键概念

  1. SQL注入关键概念
  2. 预防SQL注入

六、跨站脚本(XSS)关键概念

  1. 跨站脚本(XSS)关键概念
  2. XSS的影响
  3. 识别XSS缺陷
  4. 预防XSS缺陷

七、失效的认证与会话管理

  1. 会话劫持
  2. 预防会话劫持
  3. 会话固定示例

八、不安全的直接对象引用

  1. 不安全的直接对象引用关键概念
  2. 目录遍历
  3. 解决目录遍历问题

九、跨站请求伪造(CSRF)

  1. 跨站请求伪造(CSRF)关键概念
  2. 执行CSRF攻击
  3. 预防CSRF

十、安全配置错误

  1. 安全配置错误
  2. 安全配置错误:动态威胁环境
  3. 安全配置错误缓解方法:可重复性加固

十一、不安全的加密存储

十二、加密实施不当

十三、未能限制URL访问

十四、传输层保护不足

  1. 安全套接层与传输层安全(SSL与TLS)
  2. Internet协议安全(IPSec)

十五、未经验证的重定向与转发

  1. 未经验证的重定向与转发
  2. 未经验证的重定向与转发的缓解方法
  3. 表间接技术

十六、先前OWASP十大列表中的威胁

  1. 先前OWASP十大列表中的威胁
  2. 恶意软件
  3. 恶意文件执行

十七、信息泄露与错误处理不当

  1. 信息泄露与错误处理不当
  2. 预防信息泄露与错误处理不当
  3. 模块小结

十八、安全原则

  1. 安全原则
  2. 结构性安全
  3. 最小特权原则
  4. 测试所有内容
  5. 模块小结

十九、安全目标与安全控制

  1. 安全目标与安全控制

二十、认证

  1. 认证
  2. 认证注意事项
  3. 授权

二十一、授权注意事项

  1. 授权注意事项
  2. 模块小结

二十二、软件开发生命周期(SDLC)中的安全

  1. 软件开发生命周期(SDLC)中的安全
  2. 确立安全需求
  3. 威胁分类
  4. 优先排序威胁缓解
  5. 开发安全代码
  6. 安全测试概述
  7. 特定类型漏洞测试
  8. 使用安全测试工具
  9. 模块小结

    端玛科技目前开放了AWA101 应用安全基础 COD231 跨站脚本介绍——JSP 两门试点课程,供所有人学习应用安全相关知识。想要学习该试点课程,请访问 http://116.236.180.243:999/dmca/elearning.html

 

网站文章