課程大綱: Web應(yīng)用安全架構(gòu)入侵檢測(cè)與防護(hù)培訓(xùn)
Web 應(yīng)用的體系結(jié)構(gòu)和安全相關(guān)的問(wèn)題部署考慮
輸入驗(yàn)證 身份驗(yàn)證 授權(quán) 配置管理
敏感數(shù)據(jù) 會(huì)話管理 加密 參數(shù)操作 異常管理 審核和記錄
案例示范:某系統(tǒng)安全案例示范識(shí)別安全問(wèn)題如何識(shí)別風(fēng)險(xiǎn) 如何保護(hù)資源
如何構(gòu)建應(yīng)用或服務(wù)級(jí)防御機(jī)制 如何實(shí)施認(rèn)證與授權(quán) 如何防止身份盜用
如何定制訪問(wèn)控制策略 如何抵御來(lái)自?xún)?nèi)部和外部的攻擊 如何檢測(cè)惡意代碼
如何克服服務(wù)中斷 如何評(píng)估和測(cè)試防范措施 如何監(jiān)視和審計(jì)威脅與弱點(diǎn)
案例實(shí)踐:某系統(tǒng)安全問(wèn)題識(shí)別安全分析各類(lèi)攻擊案例中攻擊位置剖析 業(yè)務(wù)安全需求分析
環(huán)境安全需求分析 使用安全檢查清單(Security Check List )標(biāo)識(shí)安全點(diǎn)
威脅剖析與安全評(píng)估 安全風(fēng)險(xiǎn)分析 權(quán)衡分析
案例實(shí)踐:某系統(tǒng)安全分析安全設(shè)計(jì)安全統(tǒng)一過(guò)程 安全的設(shè)計(jì)規(guī)范(金融行業(yè)PKI設(shè)計(jì)安全規(guī)范)
安全設(shè)計(jì)的視角 安全設(shè)計(jì)的模式 安全模型評(píng)估
案例實(shí)踐:某系統(tǒng)安全設(shè)計(jì)Web層安全模式認(rèn)證實(shí)施器 授權(quán)實(shí)施器
攔截驗(yàn)證SecureBaseAction 安全日志器(海量日志分析模型) 安全管道 安全服務(wù)代理 攔截Web代理
案例實(shí)踐:某系統(tǒng)web層安全設(shè)計(jì)業(yè)務(wù)層安全模式審計(jì)攔截器 容器管理的安全
動(dòng)態(tài)服務(wù)管理 混淆傳輸對(duì)象 策略代理 安全服務(wù)門(mén)面 安全會(huì)話對(duì)象
案例實(shí)踐:某系統(tǒng)業(yè)務(wù)層安全設(shè)計(jì)Web服務(wù)安全模式消息攔截器網(wǎng)關(guān) 消息檢查器 安全消息路由器
案例實(shí)踐:某系統(tǒng)web安全服務(wù)模式身份管理安全模式斷言構(gòu)造器模式 單點(diǎn)登錄代理 憑證令牌化器模式
案例實(shí)踐:某系統(tǒng)身份管理安全模式基于代碼安全性設(shè)計(jì)代碼安全模型(代碼脆弱性分析)
物理模塊安全模型(防止非法修改) 資源使用安全模型 設(shè)計(jì)軟件安全編碼規(guī)范 代碼安全分析工具
案例實(shí)踐:某系統(tǒng)基于代碼安全性設(shè)計(jì)軟件安全測(cè)試軟件安全測(cè)試用例分析與設(shè)計(jì)
軟件安全的靜態(tài)測(cè)試 測(cè)試軟件安全漏洞的有效方法 安全測(cè)試的工具
案例實(shí)踐:某系統(tǒng)安全測(cè)試軟件研發(fā)過(guò)程安全管理軟件研發(fā)過(guò)程文檔安全管理(防止竊取) Code Review中安全檢查 研發(fā)人員安全能力方案 制定安全規(guī)范
案例實(shí)踐:某系統(tǒng)軟件研發(fā)過(guò)程安全管理
加入高級(jí)會(huì)員獲得助教答疑
