课程大纲
IT安全与Secure Coding
- 信息安全原则概述
- CIA三要素:机密性、完整性、可用性
- 常见威胁与威胁建模
- 安全软件开发生命周期(SSDLC)的最佳实践
Web Application Security
- 理解OWASP十大漏洞及更多
- 认证与会话管理漏洞
- 注入漏洞(SQL、命令、LDAP等)
- 跨站脚本攻击(XSS)与跨站请求伪造(CSRF)
客户端安全
- 基于DOM的攻击与JavaScript特定风险
- AJAX与浏览器存储的不安全使用
- 点击劫持与UI伪装
- 内容安全策略(CSP)的实施
实用Crypto密码学
- 基本概念:哈希、加密、数字签名
- 公钥与对称密钥密码学
- 传输层安全性(TLS)基础
- 密钥管理与常见加密错误
Web Services的安全
- SOAP与REST的安全考量
- 认证机制:OAuth、JWT、API密钥
- 常见Web服务攻击与防御
- 服务有效负载中的输入验证
XML安全
- XML注入与解析攻击
- 实体扩展与XXE漏洞
- 安全解析技术与库
- 使用XML安全标准(XML-DSig、XML-Enc)
知识来源与安全工具
- 推荐的安全测试工具(例如OWASP ZAP、Burp Suite)
- 代码扫描与分析工具
- 线上资源与安全指南
- 如何跟踪新兴威胁
总结与下一步
要求
- 了解基本的Web应用程序架构
- 具备使用Java、C#、PHP或JavaScript等编程语言的经验
- 熟悉客户端-服务器通信和HTTP
受众
- 开发者
- Web应用程序架构师
- 注重安全的技术团队
客户评论 (5)
Overview of most among important topics related to software architecture. This training inspired me to learn some of them in depth ;)
Konrad Fuchsig - EY GDS
课程 - Web Application Security
Explanation of the concepts I had no knowledge about. Tutors calm and kind attitude and also his very vast knowledge.
Michal Kowalczyk - EY GDS
课程 - Web Application Security
Practical examples and possibility to try how web injections are functioning from the other side - not user but attacker side.
Jessica Wierzbicka - EY GDS
课程 - Web Application Security
The hands-on labs were excellent.
Dr. Farhan Hassan Khan - TDM GROUP
课程 - Web Application Security
Trainers command in his field