感谢您发送咨询!我们的团队成员将很快与您联系。
感谢您发送预订!我们的团队成员将很快与您联系。
课程大纲
IT安全与安全编码基础
- 威胁建模基础:STRIDE、攻击面和权限提升向量
- 安全SDLC集成:左移、威胁感知设计评审和深度防御
- 最小权限原则、契约防御和安全默认配置
- 研讨会:将.NET微服务映射到威胁模型并识别架构控制
ASP.NET中的Web应用安全
- ASP.NET请求管道、中间件执行顺序和过滤器拦截点
- HTTP协议风险:标头注入、请求走私和CORS配置错误
- 会话管理、状态持久化和Cookie安全最佳实践
- 安全的远程过程调用和外部API消费模式
- 实验:在示例ASP.NET应用中利用并修补一个易受攻击的中间件链
.NET安全架构与内置服务
- CLR安全模型:证据、权限和CAS(代码访问安全)演进
- ASP.NET Core Identity、身份验证方案和基于令牌的安全性(JWT、OAuth2、OpenID Connect)
- 数据保护API:加密、密钥轮换和安全数据序列化
- .NET中的加密原语:RNG、哈希、对称/非对称加密和签名验证
- 实验:在微服务边界上实现安全令牌颁发、密钥轮换和数据保护
常见编码错误、漏洞与缓解
- 反序列化攻击、ViewState篡改和字符串终止/溢出问题
- 配置漂移:web.config/appsettings.json、环境变量暴露和密钥管理
- 注入向量:SQL、命令、XSS和LDAP在C#数据访问和路由中的应用
- 不安全的默认值、硬编码和不当的错误处理导致的信息泄露
- 实验:逆向工程一个易受攻击的.NET模块,应用安全模式,并使用静态/动态分析器验证修复
安全测试、验证与持续改进
- 静态应用安全测试(SAST):Roslyn分析器、Security Code Scan和CI/CD集成
- 动态应用安全测试(DAST):OWASP ZAP、Burp Suite工作流和自动化扫描
- 运行时保护:应用防护栏、内存安全实践和安全日志记录/审计
- 补丁管理、依赖跟踪和响应.NET/ASP.NET安全公告
- 实验:为.NET解决方案构建预提交和管道安全门
知识来源与安全开发生态系统
- 官方Microsoft安全指南、.NET安全文档和ASP.NET加固参考资料
- CVE数据库、公告订阅和开源依赖的负责任披露工作流
- 安全库生态系统:PGP、加密操作、身份验证框架和合规加密
- 构建内部安全编码标准、开发者赋能和安全冠军计划
- 研讨会:策划个性化的安全开发工具包并建立持续监控实践
要求
- 具备扎实的C#编程和.NET框架基础知识
- 熟悉ASP.NET Web开发(Razor Pages、MVC或Minimal APIs)
- 了解基本的HTTP、路由和Web服务器概念
- 无需先前的安全认证,但需要具备生产环境编码经验
14 小时
客户评论 (5)
非常好地理解了黑客如何分析网站的潜在弱点,以及他们可能使用的工具。
Roger - OTT Mobile
课程 - .NET, C# and ASP.NET Security Development
机器翻译
老掉牙的笑话。喜欢前两天的课程,因为有实验环节。
Kevin Galacgac - Human Edge Software Philippines, Inc.
课程 - .NET, C# and ASP.NET Security Development
机器翻译
培训师非常投入,确保每个人都能跟上当前主题。他对每个主题都解释得很清楚,并提供易于理解的例子。
Edgarico Llaneta - Human Edge Software Philippines, Inc.
课程 - .NET, C# and ASP.NET Security Development
机器翻译
实践培训和示例。
Lord-Sam Lamparero - Human Edge Software Philippines, Inc.
课程 - .NET, C# and ASP.NET Security Development
机器翻译
I was benefit from the exercises (SQL injection, XSS, CRSF. .).
David Lemoine - Statistical Solutions
课程 - .NET, C# and ASP.NET Security Development
机器翻译
