联系我们
WEB安全编程基础入门公开课

微信扫码立即联系主办方

微信分享
WEB安全编程基础入门公开课

使用微信扫一扫分享到朋友圈

活动分享
WEB安全编程基础入门公开课

使用微信扫一扫进入小程序分享活动

公开课详情

课程名称:WEB安全编程基础入门

 

时间:周未班,2天,人数满30人即开班。


住宿:住宿自理。



课程介绍

随着互联网的快速发展,以及大量中小型互联网公司的出现,网络用户数也在不断增长,用户安全意识不断提升,大家也越来越注重个人隐私及数据安全的防护,出现用户密码泄露、隐私外泄、财产损失等都是不能忍受的。

目前大部分公司都会通过WEB技术提供服务,但这些公司往往缺乏安全相关的技术团队,来为网络安全方面提供技术保障。尤其在开发过程中工程师忽略安全方面的考虑,导致线上网站服务器出现各种安全漏洞,留下安全隐患,对用户和公司都会造成不同程度的损失。

加上近些年各大互联网公司陆续爆出被攻击的安全问题,大量账户和密码泄露。例如有些用户在很多网站都使用同一账户和密码,使得黑客更容易破解他在其它网站的账户信息。类似问题让企业在安全性方面面临严峻挑战,可以说一个网站没有安全,就像没有穿衣服一样,它是裸露透明的,一丝不挂毫无隐私和保障可言。

而互联网上也很少有WEB安全开发方面的的课程,本课程正是基于此总结了我在安全开发方面的经验,循序渐进的讲述大量实际发生的案例以及处理方案,来应对各种新奇攻击技术。从常见网络攻击、代码安全、后端应用安全、账户安全、等各方面提供了比较成熟的技术解决方案。

希望通过WEB安全编程训练营能够帮助开发者对整个网络安全有一个全新的认识和质的提升,从而成为一位懂安全、会防护的工程师,避免在工作当中成为黑客的攻击对象。


课程设计

12种漏洞主题参照OWASP top10,以及各大漏洞提交平台及SRC最常出现的漏洞进行归纳总结。

每个主题按照漏洞原理、漏洞代码分析、测试方法及工具、漏洞防范措施、如何开发出安全的代码,五大详细内容分类来进行深入讲解。

整个课程包含了大量的实际项目案例,通过案例阐述在实际项目中的应用,让开发人员深入理解和学习每种漏洞的原理、测试、预防措施,开发出安全的程序,在开发阶段就杜绝产品的漏洞问题。

从漏洞类型上又分为了三部分

l  编码安全

讲解开发者在编码过程当中产生的常见编码问题,包括SQL注入、命令执行、代码注入、XSS、文件上传、CSRF等,如何规避这些编码导致的安全问题

l  业务设计安全

在设计一些业务时候,不仅仅是编码会产生安全漏洞,业务同样会产生大问题,比如常见越权漏洞,支付漏洞,验证码问题,这些问题其实在设计功能支出就应该考虑到项目计划中去。

l  知识拓展

第三部分主要内容是介绍攻击者在攻击服务器时,会在前期如何收集服务器信息,攻击者有哪些手段来挖掘漏洞,让读者能够快速了解漏洞是如何被发现的,我们如何避免此类问题的综合知识讲解。

 

课程目录

1、SQL注入漏洞

(1)sql注入漏洞原理

(2)sql注入漏洞测试方法(演示,案例)

          --常见注入类型(字符、数字、搜索)

          --盲注(boolian base&time base)

(3)sql-map使用介绍(演示)

(4)sql注入防范措施

(5)解决SQL注入的安全开发方法

2、命令执行

(1)系统命令注入漏洞原理

(2)系统命令漏洞测试方法(演示,案例)

(3)系统命令注入防范

(4)解决系统命令注入的安全开发方法

3、代码注入

(1)代码注入漏洞原理

(2)代码注入漏洞测试方法(演示,案例)

--include()

--

(3)代码注入防范措施

(4)代码注入防御方法

4、文件上传漏洞

(1)不安全的上传漏洞

--客户端验证问题

--服务端验证问题

(MIME type,getimagesize())

(2)不安全的下载漏洞

(3)防范措施

(4)解决文件上传漏洞的安全开发方法

5、文件包含

(1)文件包含漏洞原理

(2)代码注入漏洞测试方法(演示,案例)

--远程文件包含

--本地文件包含

(3)文件包含防范措施

(4)解决文件包含的安全开发方法

6、跨站脚本攻击(XSS)

(1)跨站脚本漏洞原理

(2)跨站脚本测试方法(演示、案例)

--反射性xss(get&post)

--存储型xss

--dom型xss

(3)防范措施

(4)解决XSS的安全开发方法

7、跨站请求伪造(CSRF)

1.跨站请求伪造原理

2.跨站请求伪造测试方法(演示、案例)

--csrf (get)

--csrf(post)

3.防范措施

--token是如何防止csrf的

4.解决CSRF的安全开发方法

8、暴力破解

1.暴力破解攻击及漏洞原理

2.暴力破解漏洞测试方法(演示、案例)

3.burp-suite使用介绍(基于表单的暴力破解演示)

4.不安全的验证码(演示、案例)

5.防范措施

6.解决暴力破解的安全开发方法

9、密码找回

  1. 凭证暴力破解

  2. 凭证信息返回

  3. 邮箱弱token

  4. 凭证的有效性

  5. 手机号重新绑定

10、验证码绕过

  1. 验证码漏洞成因

  2. 验证码不刷新

  3. 可重复验证

  4. 空值验证码

  5. 漏洞防范

11、越权

1.越权漏洞原理2.越权漏洞测试方法(案例,演示)--横向越权--水平越权3.防范措施

12、支付漏洞

  1. 支付漏洞原理

  2. 订单价格

  3. 订单数量

  4. 运费

  5. 漏洞防范

 


立即购买
活动筹备中
售票推广中
活动结束
选择票
门票名称
单价(¥)
截止时间
数量
WEB安全编程基础入门公开课
3,500
2019-10-28 18:00
0
票价
0
活动主办方
时间与地址
时间: 2018-10-27 09:00 ~ 2019-10-28 18:00
地址:   北京朝阳区满30人立即开班!