任你选择
课程大纲
第一部分:应用安全标准及相关规范、漏洞原理及测试工具
1. WASC威胁分类
介绍 WEB 系统⾯临的常见威胁,及 WASC 威胁分类
2. OWASPTOP10
注⼊攻击
跨站脚本攻击
认证与会话管理不当
对象直接引⽤
跨站请求伪造
安全配置错误
不安全的加密存储
URL访问控制不当
通讯加密不安全
未验证的重定向和转发
信息泄露与错误处理不当
使⽤已知不安全的组件
3. 课程中使用Juice漏洞演示平台,进行漏洞演示与实验,同时详细介绍涉及到的测试工具,包括Burpsuite及常用插件,Nmap,Nessus等扫描工具和脚本,Wireshark等抓包和分析工具。
命令注入实验(获取/etc/passwd等任意文件),获取Shell
SQL注入之授权绕过
SQL注入之Union查询
SQL注入之SQLMAP
存储型跨站脚本攻击实验(窃取管理员 Session 信息)
反射型跨站脚本攻击实验(引入社会工程学相关内容)
不安全的 URL 转发结合点击劫持实验
对象直接引用实验(构造若⼲“../",篡▪ OWASP 应⽤程序的安全验证标准
文件上传漏洞和利用
第二部分:SDLC 安全开发生命周期,应用系统安全验证标准,安全开发和测试指南
1. ASVS安全级别划分
Level0(Cursory)
Level1(Opportunistic)
Level2(Standard)
Level3(Advanced)
2. ASVSV3 安全验证区域及主要验证点:
V1. 安全架构、 设计与威胁建模(Architecture, designandthreatmodelling)
V2. ⾝分鉴别(Authentication)
V3. 会谈管理(SessionManagement)
V4. 访问控制(AccessControl)
V5. 恶意输⼊处理(Maliciousinputhandling)
V7. 加密⽀撑组件(Cryptographyatrest)
V8. 错误管理及纪录(ErrorHandlingandLogging)
V9. 数据保护(Data Protection)
V10. 通讯相关(Communications)
V11. HTTP安全配置(HTTPSecurityconfiguration)
V13. 恶意代码控制(Maliciouscontrols)
V15. Businesslogic(业务逻辑)
V16. Fileandresources(⽂件和资源调⽤安全)
V17. Mobile(移动安全)
V18. Webservices (NEWfor3.0)(Web服务)
V19. Configuration (NEWfor3.0)(安全配置)
3. 如何使⽤ ASVS:
了解当前安全措施
确定需要达到的安全级别,⾄少 1 级
与安全区域的验证点进⾏匹配查找, 确定
需求、 设计、 开发、 测试、 维护团队需要改进的控制项⽬。
制定培训和实施计划,落实检查时间
验证所选择的安全级别对应的验证点
提⾼安全级别,持续改进
4. 安全测试指南V4
安全测试原则
典型的 SDLC 测试流程
Web 应⽤安全测试主要测试内容
安全测试⼯具和平台介绍
软件安全开发⽣命周期管控
介绍软件开发⽣命周期中,相关阶段的安全控制措施
需求分析阶
设计阶段
开发阶段
测试阶段
上线阶段
运维阶段
第三部分:数据安全,介绍数据安全标准和构建框架
1. 数据安全主要标准
NISTSP1500 大数据互操作框架
NISTSP1800-11 《数据完整性:从勒索软件和其它破坏性事件中恢复》
NISTSP800-154 《以数据为中心的系统威胁建模指南》
ISO/IEC20547《信息技术大数据参考架构》
2. 数据安全与传统安全
传统安全中数据安全保护内容
从以应用系统为核心向以数据为核心
在 SOA体系下的数据安全
在微服务架构体系下的数据安全
数据安全与隐私保护
网络安全法中的个人信息保护要求
等级保护(三级)对数据保护要求
GDPR 通用数据保护条例
3. 数据安全成熟度模型(DSMM)
生命周期维度
全能力维度
能力成熟度等级维度
数据安全能力建设
数据安全组织建设
数据安全制度流程
数据安全技术工具
数据安全人员能力
数据生命周期管理
数据采集过程安全及过程域定义
数据存储过程安全及过程域定义
数据传输过程安全及过程域定义
数据处理过程安全及过程域定义
数据交换过程安全及过程域定义
数据销毁过程安全及过程域定义
