专题课程
课程目标
Ø 强化软件安全测试意识,提高安全认知水平。
Ø 掌握软件安全测试的基本原则,将大部分的安全隐患通过安全测试提高而遏制。
Ø 通过课程,让学员深刻了解应用软件安全测试与安全漏洞之间的因果关系。
Ø 掌握安全测试基础知识和技能技巧,深入了解安全测试在软件开发中的应用。
Ø 帮助测试人员掌握安全测试原则和技能,懂得应用系统安全测试技术规范。
Ø 让学员形成结构化的信息安全知识体系,达到通过资料课后自主深化学习的能力。
课程内容
Ø 黑客猛于虎感知篇
深刻感知和深化了解黑客是如何攻击的,软件测试人员应该如何应对?
Ø 红黑演义测试实战篇
重现黑客攻击过程,从对手角度深刻理解以往测试中有哪些致命漏洞,有哪些会给黑客带来突破口的地方?重现开展应用软件漏洞修补工作,通过沙盘案例分享,深度思考如何立体综合防御,软件设计、开发中有什么灵感?
Ø 漏洞原理基础篇
本篇从形象生动的故事化加解密原理讲起,深入了解准金融级别的安全如何设计,中间有哪些重要组成部分,它们之间是如何协同工作的,它们又怎么被黑客突破的?
Ø 架构设计应用篇
时间:本篇从国际、国内标准及金融行业标准规范讲起,结合经典的金融系统架构设计思路,通过学员提问方式,开展架构设计深度研讨。
Ø 规范制定升华篇
时间:本篇的目的是让学员能够从安全测试标准化角度思考问题,通过案例方式给现场学员分享,实现本次培训课程的升华。
教学模式
本课程提供一套“红黑演义攻防演练硬件平台”,通过现场版的“应用系统漏洞攻防场景”,对演练平台上的应用系统场景开展安全攻防测试实践,提高他们对各种隐患风险的识别和验证能力,学员自带笔记本进行练习实践。
通过“从工作中来,到工作去”的课程设计理念,从正反两方面再现测试实战技术,正方即红方学员开展正面的应用系统测试验证,重点讲解如何进行脆弱性识别,如何运用安全典型实践对信息系统进行安全测试验证;反面的是,黑方学员现场模拟黑客精密的犯罪过程,深入了解黑客入侵的思路和方法,快速提高安全测试能力;红方学员再次充当软件测试技术人员,信息系统遭受到黑客入侵后,如何从应用系统的日志记录来发现黑客的行踪、入侵方式和攻击手段,研讨如何加强应用系统自身的安全认证、授权、审计功能。
通过结合常见安全测试原则,对信息安全技术的深度讲解,深入剖析黑客攻击原理和攻击路线,切实提升学员对信息安全系统的测试能力。
实践环境:
应用系统安全测试攻防演练硬件平台,课程中将配合大量实战案例,通过反复强调安全原则,不断刷
课程内容
|
主题 |
内容 |
案例、实操、分析与探讨 |
||
|
第一天 黑客猛于虎感知篇 主讲人:张胜生 首席安全资深讲师/CISSP、CISP金牌讲师 |
||||
|
大中型企业信息安全惨痛案例分析 |
1、黑客产业链与企业挑战 |
n 重点:认识漏洞后果,加强安全开发意识 n 演示:信息安全真实场景再现 n 分析:业界常见信息安全脆弱点 n 探讨:业界典型防护方式探讨 |
||
|
2、服务器被入侵演示与分析 |
||||
|
3、密码被窃场景演示与分析 |
||||
|
4、僵尸网络场景演示与分析 |
||||
|
黑客破坏企业应用系统场景重现与企业测试实践 |
安全测试与企业安全生成关系,强化理解软件漏洞在软件运行中的破坏威力,应该掌握基本的安全原则,一切从安全意识出发,从我做起。 |
针对信息安全漏洞进行深入剖析,从软件安全测试的角度认识安全漏洞。
n 重点:安全测试认知中我缺少了什么?我该做什么才能让软件安全起来? n 演练:网络攻击过程重现 n 探讨:应用系统测试如何验证网络监听漏洞 n 案例:应用系统客户端入侵案例测试与分析 n 案例:应用系统传输安全入侵案例测试与分析 n 案例:WEB与数据库安全测试案例重现与分析 n 案例:应用系统认证、授权、审计功能测试案例剖析 n 案例:某单位应用系统安全测试分析与整改 n 探讨:软件安全测试与流程探讨
|
||
|
1、安全测试重要环节回顾 |
||||
|
2、隐患原理动画与测试流程 |
||||
|
3、企业安全中经常犯的错误分析 |
||||
|
4、软件安全测试中原则与职责 |
||||
|
5、企业软件和测试中遇到的安全问题分析 |
||||
|
6、电商系统安全架构案例剖析 |
||||
|
7、电商中应用系统与数据库安全隐患分析 |
||||
|
8、电商中应用系统安全评估方法和流程 |
||||
|
9、电商WEB系统安全测试实践练习 |
||||
|
10、数据库安全漏洞测试及企业常见隐患分析 |
||||
|
第二天、第三天 安全测试综合案例演练分享 主讲人:张胜生 首席安全资深讲师/CISSP、CISP金牌讲师 |
||||
|
电商务系统安全测试综合实践 |
业界常见漏洞测试OWASP TOP 10 |
n 安全漏洞与安全测试认知关系,如何加深认知水平,简单有效防范漏洞的产生。 |
||
|
1、输入验证——SQL注入测试与防范实践重现 |
n 演练:电商系统SQL注入测试与代码修补 n 演练:电商系统SQL注入绕过测试 n 演练:利用XSS在后台增加管理员账户测试 n 演练:利用XSS实现钓鱼攻击测试 n 实操:电商系统XSS漏洞修补 n 演练:电商系统LINUX系统权限提升 n 演练:电商系统LINUX Rootkit安装与检测 n 实操:操作系统测试与加固 n 实操:数据库测试及加固 n 实操:日志服务器搭建与入侵现象分析 |
|||
|
2、输入验证——跨站测试分析与防范实践重现 |
||||
|
3、输入验证——CSRF高级脚本测试分析与防范实践重现 |
||||
|
4、输入验证——高级钓鱼测试入侵分析与防范实践重现 |
||||
|
5、日志系统搭建与入侵痕迹分析重现 |
||||
|
6、软件安全测试中输入验证、输出验证的重要地位总结 |
||||
|
电商相关系统测试 |
1、“永远不要相信客户端”是个永恒的话题。 |
深度理解永远不要相信客户端 n 演练:系统用户cookie测试与防御 n 演练:系统用户密码钓鱼测试与防御 n 演练:系统安全规划与部署与测试 n 案例:《论网络持久战》场景讲解 n 探讨:中高级黑客与管理员战争的路线
|
||
|
2、邮件系统跨站获取登录信息测试分析与防范实践 |
||||
|
3、邮件系统跨站获取帐号密码测试分析与防御实践 |
||||
|
4、邮件系统WEB程序安全测试实践 |
||||
|
第四天 漏洞原理及安全测试基础篇 主讲人:张胜生 首席安全资深讲师/CISSP、CISP金牌讲师 |
||||
|
漏洞原理及安全测试基础篇 |
漏洞原理汇总 |
n 密码原理实践演示 n 专题:PKI技术架构与SSO方案测试 n 分享:应用系统密码技术应用实例测试 n 工作中遇到的加解密原理及深度测试 |
||
|
安全基本原则 |
||||
|
密码学原理知识:对称加密、非对称加密、哈希算法、CA、LDAP、CRL、、密钥管理 |
||||
|
密码学技术应用:常见弱加密、强加密,持续认证 |
||||
|
密钥管理体系与单双向SSL加密 |
||||
|
第五天 测试应用篇、规范制定升华篇 主讲人:张胜生 首席安全资深讲师/CISSP、CISP金牌讲师 |
||||
|
测试用例设计与应用篇 |
安全基本原则在威胁面分析中的沙盘推演 |
运用安全基本原则,讲解通过案例分享与提问方式的沙盘推演,在应用系统安全架构层面进行讲解,使参训人员能够掌握在不同场景下的安全测试流程与方案制定。 |
||
|
安全原则运用与安全建模沙盘推演 |
||||
|
测试验证沙盘推演 |
||||
|
测试规范运用 升华篇 |
安全基本原则与如何开展应用系统安全测试技术规范制定 |
重点:升华到安全测试人员迫切需要运用企业自己的安全测试规范,深度认知安全测试基本原则,懂得安全测试基本原则的运用方式方法。 研讨:应用系统安全测试生命周期隐患 推演:应用系统各个环节安全规范要素与测试深度定位 案例:应用系统悲催的故事与测试应对案例分析 升华:论信息安全持久战 |
||
|
安全基本原则如何深入自己的测试实例和习惯中? |
||||
|
安全测试知识体系及深化学习建议 |
||||
|
论信息安全持久战 |
||||
新安全意识的认知深度和实践技能。
