web應用安全架構設計培訓
web應用安全架構設計培訓
課程簡介：
Web網站的攻擊手段有哪些
如何預先檢查可能存在的網站漏洞
如何建立完整的web網站防護措施
如何監視并報告當前正在發生的攻擊
當攻擊發生的時候，如何進行內層防護web網站
如何建立web網站資源的安全配置
如何進行安全連接加密
如何防止SQL注入攻擊
如何防止阻塞攻擊
如何防止密碼破譯
如何防止木馬程序的注入
培訓內容：
Web 應用的體系結構和安全相關的問題
部署考慮
輸入驗證
身份驗證
授權
配置管理
敏感數據
會話管理
加密
參數操作
異常管理
審核和記錄
案例示范：
識別安全問題
如何識別風險
如何保護資源
如何構建應用或服務級防御機制
如何實施認證與授權
如何防止身份盜用
如何定制訪問控制策略
如何抵御來自內部和外部的攻擊
如何檢測惡意代碼
如何克服服務中斷
如何評估和測試防范措施
如何監視和審計威脅與弱點
案例實踐：
安全分析
各類攻擊案例中攻擊位置剖析
業務安全需求分析
環境安全需求分析
使用安全檢查清單(Security Check List )標識安全點
威脅剖析與安全評估
安全風險分析
權衡分析
案例實踐：
安全設計
安全統一過程
安全的設計規范（金融行業PKI設計安全規范）
安全設計的視角
安全設計的模式
安全模型評估
案例實踐：
Web層安全模式
認證實施器
授權實施器
攔截驗證器
SecureBaseAction
安全日志器（海量日志分析模型）
安全管道
安全服務代理
攔截Web代理
案例實踐：某系統web層安全設計
業務層安全模式
審計攔截器
容器管理的安全
動態服務管理
混淆傳輸對象
策略代理
安全服務門面
安全會話對象
案例實踐：某系統業務層安全設計
Web服務安全模式
消息攔截器網關
消息檢查器
安全消息路由器
案例實踐：某系統web安全服務模式
身份管理安全模式
斷言構造器模式
單點登錄代理
憑證令牌化器模式
案例實踐：某系統身份管理安全模式
基于代碼安全性設計
代碼安全模型（代碼脆弱性分析）
物理模塊安全模型（防止非法修改）
資源使用安全模型
設計軟件安全編碼規范
代碼安全分析工具
案例實踐：某系統基于代碼安全性設計
軟件安全測試
軟件安全測試用例分析與設計
軟件安全的靜態測試
測試軟件安全漏洞的有效方法
安全測試的工具
案例實踐：某系統安全測試
軟件研發過程安全管理
軟件研發過程文檔安全管理（防止竊?。?
Code Review中安全檢查
研發人員安全能力方案
制定安全規范
案例實踐：某系統軟件研發過程安全管理
?
?