web應(yīng)用安全架構(gòu)設(shè)計(jì)培訓(xùn)
web應(yīng)用安全架構(gòu)設(shè)計(jì)培訓(xùn)
課程簡(jiǎn)介：
Web網(wǎng)站的攻擊手段有哪些
如何預(yù)先檢查可能存在的網(wǎng)站漏洞
如何建立完整的web網(wǎng)站防護(hù)措施
如何監(jiān)視并報(bào)告當(dāng)前正在發(fā)生的攻擊
當(dāng)攻擊發(fā)生的時(shí)候，如何進(jìn)行內(nèi)層防護(hù)web網(wǎng)站
如何建立web網(wǎng)站資源的安全配置
如何進(jìn)行安全連接加密
如何防止SQL注入攻擊
如何防止阻塞攻擊
如何防止密碼破譯
如何防止木馬程序的注入
培訓(xùn)內(nèi)容：
Web 應(yīng)用的體系結(jié)構(gòu)和安全相關(guān)的問(wèn)題
部署考慮
輸入驗(yàn)證
身份驗(yàn)證
授權(quán)
配置管理
敏感數(shù)據(jù)
會(huì)話管理
加密
參數(shù)操作
異常管理
審核和記錄
案例示范：
識(shí)別安全問(wèn)題
如何識(shí)別風(fēng)險(xiǎn)
如何保護(hù)資源
如何構(gòu)建應(yīng)用或服務(wù)級(jí)防御機(jī)制
如何實(shí)施認(rèn)證與授權(quán)
如何防止身份盜用
如何定制訪問(wèn)控制策略
如何抵御來(lái)自內(nèi)部和外部的攻擊
如何檢測(cè)惡意代碼
如何克服服務(wù)中斷
如何評(píng)估和測(cè)試防范措施
如何監(jiān)視和審計(jì)威脅與弱點(diǎn)
案例實(shí)踐：
安全分析
各類(lèi)攻擊案例中攻擊位置剖析
業(yè)務(wù)安全需求分析
環(huán)境安全需求分析
使用安全檢查清單(Security Check List )標(biāo)識(shí)安全點(diǎn)
威脅剖析與安全評(píng)估
安全風(fēng)險(xiǎn)分析
權(quán)衡分析
案例實(shí)踐：
安全設(shè)計(jì)
安全統(tǒng)一過(guò)程
安全的設(shè)計(jì)規(guī)范（金融行業(yè)PKI設(shè)計(jì)安全規(guī)范）
安全設(shè)計(jì)的視角
安全設(shè)計(jì)的模式
安全模型評(píng)估
案例實(shí)踐：
Web層安全模式
認(rèn)證實(shí)施器
授權(quán)實(shí)施器
攔截驗(yàn)證器
SecureBaseAction
安全日志器（海量日志分析模型）
安全管道
安全服務(wù)代理
攔截Web代理
案例實(shí)踐：某系統(tǒng)web層安全設(shè)計(jì)
業(yè)務(wù)層安全模式
審計(jì)攔截器
容器管理的安全
動(dòng)態(tài)服務(wù)管理
混淆傳輸對(duì)象
策略代理
安全服務(wù)門(mén)面
安全會(huì)話對(duì)象
案例實(shí)踐：某系統(tǒng)業(yè)務(wù)層安全設(shè)計(jì)
Web服務(wù)安全模式
消息攔截器網(wǎng)關(guān)
消息檢查器
安全消息路由器
案例實(shí)踐：某系統(tǒng)web安全服務(wù)模式
身份管理安全模式
斷言構(gòu)造器模式
單點(diǎn)登錄代理
憑證令牌化器模式
案例實(shí)踐：某系統(tǒng)身份管理安全模式
基于代碼安全性設(shè)計(jì)
代碼安全模型（代碼脆弱性分析）
物理模塊安全模型（防止非法修改）
資源使用安全模型
設(shè)計(jì)軟件安全編碼規(guī)范
代碼安全分析工具
案例實(shí)踐：某系統(tǒng)基于代碼安全性設(shè)計(jì)
軟件安全測(cè)試
軟件安全測(cè)試用例分析與設(shè)計(jì)
軟件安全的靜態(tài)測(cè)試
測(cè)試軟件安全漏洞的有效方法
安全測(cè)試的工具
案例實(shí)踐：某系統(tǒng)安全測(cè)試
軟件研發(fā)過(guò)程安全管理
軟件研發(fā)過(guò)程文檔安全管理（防止竊取）
Code Review中安全檢查
研發(fā)人員安全能力方案
制定安全規(guī)范
案例實(shí)踐：某系統(tǒng)軟件研發(fā)過(guò)程安全管理
?
?