课程详情
2017-09-28
课程长度:3天/18小时
课程描述:
本课程以实操为主,介绍了Web应用的常见安全问题,包括Web网站的攻击手段;如何预先检查可能存在的网站漏洞;如何建立完整的web网站防护措施;如何监视并报告当前正在发生的攻击;当攻击发生的时候,如何进行内层防护web网站;如何建立web网站资源的安全配置;如何进行安全连接加密;如何防止SQL注入攻击;如何防止阻塞攻击;如何防止密码破译;如何防止木马程序的注入等等。
培训内容:
Web应用的体系结构和安全相关的问题
·部署考虑
·输入验证
·身份验证
·授权
·配置管理
·敏感数据
·会话管理
·加密
·参数操作
·异常管理
·审核和记录
·实操案例
识别安全问题
·如何识别风险
·如何保护资源
·如何构建应用或服务级防御机制
·如何实施认证与授权
·如何防止身份盗用
·如何定制访问控制策略
·如何抵御来自内部和外部的攻击
·如何检测恶意代码
·如何克服服务中断
·如何评估和测试防范措施
·如何监视和审计威胁与弱点
·实操案例
安全分析
·各类攻击案例中攻击位置剖析
·业务安全需求分析
·环境安全需求分析
·使用安全检查清单(Security Check List )标识安全点
·威胁剖析与安全评估
·安全风险分析
·权衡分析
·案例实践
安全设计
·安全统一过程
·安全的设计规范(金融行业PKI设计安全规范)
·安全设计的视角
·安全设计的模式
·安全模型评估
·实操案例
Web层安全模式
·认证实施器
·授权实施器
·拦截验证器
·SecureBaseAction
·安全日志器(海量日志分析模型)
·安全管道
·安全服务代理
·拦截Web代理
·实操案例:某系统web层安全设计
业务层安全模式
·审计拦截器
·容器管理的安全
·动态服务管理
·混淆传输对象
·策略代理
·安全服务门面
·安全会话对象
·实操案例:某系统业务层安全设计
Web服务安全模式
·消息拦截器网关
·消息检查器
·安全消息路由器
·实操案例:某系统web安全服务模式
身份管理安全模式
·断言构造器模式
·单点登录代理
·凭证令牌化器模式
·实操案例:某系统身份管理安全模式
