课程大纲

IT安全与Secure Coding

  • 信息安全原则概述
  • CIA三要素:机密性、完整性、可用性
  • 常见威胁与威胁建模
  • 安全软件开发生命周期(SSDLC)的最佳实践

Web Application Security

  • 理解OWASP十大漏洞及更多
  • 认证与会话管理漏洞
  • 注入漏洞(SQL、命令、LDAP等)
  • 跨站脚本攻击(XSS)与跨站请求伪造(CSRF)

客户端安全

  • 基于DOM的攻击与JavaScript特定风险
  • AJAX与浏览器存储的不安全使用
  • 点击劫持与UI伪装
  • 内容安全策略(CSP)的实施

实用Crypto密码学

  • 基本概念:哈希、加密、数字签名
  • 公钥与对称密钥密码学
  • 传输层安全性(TLS)基础
  • 密钥管理与常见加密错误

Web Services的安全

  • SOAP与REST的安全考量
  • 认证机制:OAuth、JWT、API密钥
  • 常见Web服务攻击与防御
  • 服务有效负载中的输入验证

XML安全

  • XML注入与解析攻击
  • 实体扩展与XXE漏洞
  • 安全解析技术与库
  • 使用XML安全标准(XML-DSig、XML-Enc)

知识来源与安全工具

  • 推荐的安全测试工具(例如OWASP ZAP、Burp Suite)
  • 代码扫描与分析工具
  • 线上资源与安全指南
  • 如何跟踪新兴威胁

总结与下一步

要求

  • 了解基本的Web应用程序架构
  • 具备使用Java、C#、PHP或JavaScript等编程语言的经验
  • 熟悉客户端-服务器通信和HTTP

受众

  • 开发者
  • Web应用程序架构师
  • 注重安全的技术团队
 14 小时

客户评论 (5)

即将举行的公开课程

课程分类