我要預(yù)訂

咨詢電話：027-5111 9925 , 027-5111 9926手機(jī)：18971071887郵箱：Service@mingketang.com

【課程背景】

隨著互聯(lián)網(wǎng)時(shí)代的到來，企業(yè)的應(yīng)用也逐步轉(zhuǎn)向互聯(lián)網(wǎng)，以互聯(lián)網(wǎng)形式開放給用戶進(jìn)行使用？而互聯(lián)網(wǎng)帶來最大的問題就是安全問題，企業(yè)如何解決互聯(lián)網(wǎng)應(yīng)用的安全問題？

本課程在主動(dòng)的安全開發(fā)框架指導(dǎo)下，深入剖析軟件開發(fā)生命周期各階段的安全細(xì)節(jié)問題，理解協(xié)同構(gòu)建安全系統(tǒng)的方法。并通過大量的動(dòng)手實(shí)操和相關(guān)案例貫穿所有的理論知識(shí)，使學(xué)員熟練掌握代碼安全漏洞分析、編程規(guī)范、代碼質(zhì)量問題分析、安全設(shè)計(jì)與防御常見問題及解決方法。

【課程收益】

學(xué)會(huì)分析軟件安全脆弱性產(chǎn)生的根源

展示多種攻擊軟件的手段、指出軟件開發(fā)過程中不同人員在設(shè)計(jì)和開發(fā)中常犯的錯(cuò)誤

探討當(dāng)前軟件安全界關(guān)注的熱點(diǎn)問題

總結(jié)和提高軟件質(zhì)量和安全性的指導(dǎo)思想、開發(fā)策略、技術(shù)路線和實(shí)施方法

掌握代碼安全典型漏洞

安全漏洞攻防演練

掌握通用代碼編程規(guī)范

能夠?qū)Υa進(jìn)行質(zhì)量問題分析

掌握項(xiàng)目的安全設(shè)計(jì)與防御

【課程對(duì)象】

IT技術(shù)負(fù)責(zé)人、軟件架構(gòu)師、系統(tǒng)分析師、資深開發(fā)人員、測(cè)試人員、信息技術(shù)安全部門的相關(guān)人員

【課程大綱】

一、安全知識(shí)背景

1、安全基礎(chǔ)

當(dāng)前企業(yè)面臨的安全態(tài)勢(shì)分析

安全分類

Top 10安全問題分析

安全案例分析

2、常見的Web攻擊手段

二、服務(wù)器&瀏覽器安全

1、服務(wù)器安全

服務(wù)器分等級(jí)隔離部署策略

應(yīng)用部署的目錄要求

服務(wù)器開放賬號(hào)最小特權(quán)權(quán)限

端口白名單開放策略

不同權(quán)限級(jí)別用戶增加額外訪問控制

公共配置存儲(chǔ)的安全

檢測(cè)指定web應(yīng)用是否開放非必須的http方法

http trace方法開放測(cè)試

關(guān)閉后臺(tái)調(diào)試信息

應(yīng)用上傳路徑的安全監(jiān)控

2、瀏覽器安全

瀏覽器廠商對(duì)安全的日漸重視

同源策略

瀏覽器沙箱

惡意網(wǎng)址攔截

基于瀏覽器自身安全機(jī)制的提升

三、常用安全漏洞的攻與防-客戶端安全

1、跨站腳本攻擊(XSS)

什么是XSS

XSS為什么是一種熱門攻擊手段

XSS Payload的定義

Cookie劫持

XSS釣魚

常見的CSS攻擊平臺(tái)

XSS Worm

XSS構(gòu)造技巧

如何防御XSS

實(shí)戰(zhàn)：XSS攻擊與防范實(shí)戰(zhàn)

2、跨站請(qǐng)求偽造(CSRF)

CSRF定義

CSRF可以做什么

CSRF漏洞現(xiàn)狀

CSRF的攻擊原理

如何防御CSRF

CSRF與XSS的比較

實(shí)戰(zhàn)：CSRF修改用戶密碼以及防范措施

3、釣魚攻擊

什么是釣魚攻擊

釣魚攻擊的一般步驟

目前釣魚攻擊的調(diào)查報(bào)告統(tǒng)計(jì)

釣魚攻擊有哪些常見的方法

案例：釣魚攻擊

4、點(diǎn)擊劫持

點(diǎn)擊劫持的定義

常見的點(diǎn)擊劫持分類

5、HTML5安全

Iframe sandbox機(jī)制

Canvas

PostMessage跨窗口消息傳遞

WebStorage本地存儲(chǔ)

案例：Noreferer問題演示與防范

四、常用安全漏洞的攻與防-服務(wù)端安全

1、SQL注入

SQL注入定義

SQL注入目的

常用的SQL注入語句

SQL注入方式

注入思路分析

SQL盲注與一般SQL注入的區(qū)別

如何防御SQL注入

實(shí)戰(zhàn)：SQL注入攻擊與防范實(shí)戰(zhàn)

2、文件上傳和下載漏洞

文件上傳漏洞的定義

因文件上傳漏洞所帶來的安全問題

必須具備的條件

文件上傳漏洞包括哪些類型

如何防御文件上傳漏洞

實(shí)戰(zhàn)：文件上傳和下載漏洞注入攻擊與防范實(shí)戰(zhàn)

3、認(rèn)證與會(huì)話管理

認(rèn)證與授權(quán)的定義

認(rèn)證分類

密碼認(rèn)證的優(yōu)缺點(diǎn)

密碼設(shè)計(jì)應(yīng)遵循的原則

密碼出錯(cuò)策略設(shè)置

密碼輸入框的密文顯示

密碼的加密存儲(chǔ)

密碼的加密傳輸

初始化口令的要求

驗(yàn)證碼的安全使用

認(rèn)證處理模塊的合法性校驗(yàn)及認(rèn)證結(jié)果返回要求

關(guān)鍵事務(wù)處理的多級(jí)認(rèn)證和強(qiáng)身份認(rèn)證

會(huì)話重寫

用戶賬號(hào)的鎖定策略

Session機(jī)制詳解

Session常用的攻擊漏洞

獲取sessionid的兩種手段

注銷時(shí)會(huì)話清除

單點(diǎn)登錄

如何進(jìn)行認(rèn)證測(cè)試

不安全的數(shù)據(jù)傳輸

服務(wù)端業(yè)務(wù)處理的流程順序限制

案例：Session劫持與防范

4、訪問控制

不安全對(duì)象的引用

功能級(jí)的訪問必須經(jīng)過認(rèn)證和鑒權(quán)

認(rèn)證和鑒權(quán)必須在服務(wù)器端處理

采用最小化權(quán)限控制策略

應(yīng)用程序運(yùn)行賬號(hào)和數(shù)據(jù)庫(kù)連接賬號(hào)的分離以及最小職權(quán)原則

操作系統(tǒng)文件的權(quán)限控制策略

訪問控制的分類

垂直權(quán)限管理

水平權(quán)限管理

5、安全配置錯(cuò)誤

安全配置的定義

因安全配置錯(cuò)誤引發(fā)的安全問題

如何防御安全配置錯(cuò)誤引發(fā)的安全問題

案例：文件目錄的安全問題

6、使用含有已知漏洞的組件

描述

所帶來的危害

解決辦法

7、未驗(yàn)證的重定向和轉(zhuǎn)發(fā)

案例

解決辦法

8、敏感信息泄露

敏感信息的定義

敏感信息的危害

敏感信息的案例

如何解決敏感信息泄露引發(fā)的問題

如何進(jìn)行敏感信息泄露的測(cè)試

代碼中的敏感數(shù)據(jù)

禁止明文存儲(chǔ)密鑰和口令

禁止Cookie中存儲(chǔ)明文形式敏感數(shù)據(jù)

安全的加密算法推薦

日志中敏感數(shù)據(jù)存儲(chǔ)

敏感數(shù)據(jù)禁止緩存到頁(yè)面

敏感數(shù)據(jù)表單提交規(guī)則

使用帶證書的SSL

禁止URL中攜帶敏感信息

9、拒絕服務(wù)攻擊

網(wǎng)絡(luò)層的拒絕服務(wù)攻擊

應(yīng)用層的拒絕服務(wù)攻擊

如何防范應(yīng)用層的拒絕服務(wù)攻擊

10、安全審計(jì)

安全事件和操作事件的記錄

安全日志的訪問權(quán)限控制

安全日志的分析

陳老師

陳國(guó)星老師

——企業(yè)IT團(tuán)隊(duì)技能提升引領(lǐng)者

曾任國(guó)內(nèi)通信行業(yè)上市公司 廣東融合通信 技術(shù)負(fù)責(zé)人

華為（運(yùn)營(yíng)商5G云改云原生方向） 簽約講師

阿里云（paas產(chǎn)品）特約講師

阿里云企業(yè)級(jí)互聯(lián)網(wǎng)架構(gòu)認(rèn)證專家

研發(fā)迭代領(lǐng)域?qū)＜?/p>

軟件安全架構(gòu)領(lǐng)域?qū)＜?/p>

【個(gè)人簡(jiǎn)介】

陳國(guó)星老師擁有15年IT研發(fā)經(jīng)驗(yàn)，11年IT架構(gòu)與管理經(jīng)驗(yàn)，8年IT企業(yè)培訓(xùn)經(jīng)驗(yàn)，負(fù)責(zé)企業(yè)IT團(tuán)隊(duì)技術(shù)類課程交付，涉及運(yùn)營(yíng)商、銀行、證券、央企、事業(yè)單位等世界500強(qiáng)企業(yè)，包括新員工入職專題類的技術(shù)類崗位課程全流程跟進(jìn)與實(shí)施、企業(yè)老員工IT專業(yè)技能提升（Java方向）、架構(gòu)設(shè)計(jì)、微服務(wù)、DevOps、云原生、大數(shù)據(jù)等專題，與業(yè)內(nèi)知名企業(yè)阿里、華為、企培行業(yè)頭部企業(yè)建立長(zhǎng)期的企業(yè)培訓(xùn)渠道深度合作模式。

曾主導(dǎo)南方電網(wǎng)互聯(lián)網(wǎng)客戶服務(wù)平臺(tái)和新型客戶統(tǒng)一模型建設(shè)、大型集團(tuán)公司基于微服務(wù)架構(gòu)的業(yè)務(wù)中臺(tái)和數(shù)據(jù)中臺(tái)建設(shè)、廣東省智慧城市建設(shè)項(xiàng)目、教育行業(yè)云平臺(tái)與虛擬化平臺(tái)建設(shè)、基于IOT在美妝行業(yè)的平臺(tái)建設(shè)。

精通大型分布式應(yīng)用架構(gòu)設(shè)計(jì)與技術(shù)研發(fā)。對(duì)于大規(guī)模分布式架構(gòu)、微服務(wù)架構(gòu)、軟件安全架構(gòu)設(shè)計(jì)等方向特別有研究，尤其對(duì)于高并發(fā)應(yīng)用有豐富的架構(gòu)與落地經(jīng)驗(yàn)。擅長(zhǎng)Java開發(fā)技能體系、軟件架構(gòu)、微服務(wù)、軟件工程和研發(fā)團(tuán)隊(duì)管理，長(zhǎng)期為某上市集團(tuán)公司提供項(xiàng)目管理和架構(gòu)顧問支持。

熟悉阿里云相關(guān)技術(shù)棧，有過多次中型項(xiàng)目阿里公有云上云經(jīng)驗(yàn)；熟悉騰訊云的私有化架構(gòu)，有過互聯(lián)網(wǎng)大型項(xiàng)目的私有化落地實(shí)施經(jīng)驗(yàn)。

曾在平安證券、中國(guó)電信、中國(guó)移動(dòng)、中國(guó)聯(lián)通、工商銀行、中國(guó)銀行、中數(shù)通、花樣年集團(tuán)等企業(yè)做過上門的項(xiàng)目服務(wù)，咨詢及培訓(xùn)服務(wù)過300多家成長(zhǎng)型企事業(yè)單位。現(xiàn)任某上市公司技術(shù)負(fù)責(zé)人，高級(jí)技術(shù)顧問，首席系統(tǒng)架構(gòu)師。

【授課風(fēng)格】

專業(yè)性強(qiáng)：憑借多年互聯(lián)網(wǎng)公司的從業(yè)經(jīng)驗(yàn)，結(jié)合多年服務(wù)于世界500強(qiáng)企業(yè)IT咨詢與培訓(xùn)經(jīng)驗(yàn)，能深刻理解大型企業(yè)的IT團(tuán)隊(duì)訴求，幫企業(yè)一起深入打造企業(yè)IT團(tuán)隊(duì)的金字塔模型。

實(shí)用落地：憑借15年豐富的工作經(jīng)驗(yàn)、項(xiàng)目經(jīng)驗(yàn)，成為技術(shù)實(shí)戰(zhàn)、實(shí)操、實(shí)用、實(shí)施專家。

引導(dǎo)啟發(fā)：理論結(jié)合實(shí)戰(zhàn)的方式帶領(lǐng)學(xué)員一起，讓學(xué)員得到事半功倍的收獲。授課條理清晰，深入淺出，通過一個(gè)或多個(gè)實(shí)際案例貫穿整個(gè)課程，語言表達(dá)能力強(qiáng)。

對(duì)癥下藥：善于捕捉學(xué)員痛點(diǎn)，從痛點(diǎn)分析到痛點(diǎn)解決，來調(diào)動(dòng)學(xué)員學(xué)習(xí)積極性；思維敏捷，可以根據(jù)學(xué)生的實(shí)際需求隨即應(yīng)變。

風(fēng)趣幽默：輕松愉快，深入淺出；生動(dòng)活潑，通俗易懂；談笑風(fēng)生，印象深刻。

【主講課程】

軟件研發(fā)系列

《Java web核心應(yīng)用開發(fā)培訓(xùn)》

《Java企業(yè)應(yīng)用進(jìn)階與實(shí)戰(zhàn)》

《Java企業(yè)應(yīng)用利器之SpringBoot實(shí)戰(zhàn)》

《SpringCloud應(yīng)用開發(fā)實(shí)戰(zhàn)》

《JVM深入剖析與調(diào)優(yōu)實(shí)戰(zhàn)》

《MySQL數(shù)據(jù)庫(kù)高級(jí)應(yīng)用開發(fā)與性能優(yōu)化實(shí)戰(zhàn)》

架構(gòu)設(shè)計(jì)系列

《微服務(wù)架構(gòu)設(shè)計(jì)與實(shí)戰(zhàn)》

《大規(guī)模分布式系統(tǒng)架構(gòu)與實(shí)踐》

《互聯(lián)網(wǎng)中間件和開源技術(shù)進(jìn)階》

《ElasticSearch應(yīng)用與實(shí)戰(zhàn)》

《基于ELK的實(shí)時(shí)日志分析平臺(tái)》

《Kafka應(yīng)用與實(shí)戰(zhàn)》

《軟件安全設(shè)計(jì)與開發(fā)》

【服務(wù)客戶】

運(yùn)營(yíng)商類：中國(guó)移動(dòng)（總部及各省級(jí)單位）、中國(guó)聯(lián)通（江蘇聯(lián)通、佛山聯(lián)通）、中國(guó)電信（廣東省電信、河北電信）

銀行類：工商銀行（廣東省行、深圳分行）、中國(guó)銀行（深圳分行）、建設(shè)銀行、華商銀行（深圳分行）、農(nóng)業(yè)銀行（東莞、佛山、南海分行）、廣州農(nóng)商行、東莞農(nóng)商行、廣東省郵政

證券&保險(xiǎn)：深圳平安證券、平安科技、深圳南方基金、中國(guó)人保、招商證券、招商信諾

航空類：南方航空、深圳航空、9元航空、中航信

其它類：重慶賽迪、格力集團(tuán) 、中國(guó)數(shù)字通信

我要預(yù)訂

咨詢電話：027-5111 9925 , 027-5111 9926手機(jī)：18971071887郵箱：Service@mingketang.com