您位于: 首页 OWASP峰会 OWASP2010中国峰会 参加培训

参加培训

 

安全培训

 

编号

培训内容

报名

(10.10号前)

报名、

(10.10号后)

培训一

安全开发生命周期SDL

微软安全专家

1000元/人

1500元/人

培训二

代码安全

阿码科技首席安全专家

1000元/人

1500元/人

培训三

安全测试

资深安全测试专家

1000元/人

1500元/人

培训四

渗透测试

顶级渗透测试专家

1000元/人

1500元/人

报名联系方式(团体报名请联系):
张小姐: 0755-88877909  Ivy@owasp.org.cn
RIP
:     13699898080     rip@owasp.org.cn


培训内容

 

1. 微软安全开发生命周期(SDL)简介

本课程将介绍微软SDL,由微软创建的软件安全保证过程。自2004年以来作为全公司范围内的强制性政策,SDL在将安全和隐私保护嵌入到微软的软件和文化方面发挥了重要的作用。本课程不仅将介绍SDL流 程本身,同时还将介绍用于安全设计和实施以及进行安全测试所涉及的工具和技术。虽然很多在本课程过程中讨论的安全技术(比如,威胁建模、静态和动态代码分 析、模糊测试)的单独使用会对软件安全带来一定程度的帮助,以微软的实践经验表明,如果能够将这些实践和技术一致和全面地应用到整个软件开发的过程中,将 会为所开发的软件带来更大程度的安全保证。

2. 代码安全

深入Web代碼安全的常见样态、手動測試、自动化实现测试,以及修补策略,

具体内容包括:

1Web语言的常见不安全代码样态(包括XSSSQLJ、其他注入弱点、硬编码、异常处理、开放转址等)

2)手动测试经验分享(包括前置作业、搭配基本工具、常见测试样态、测试策略探讨)

3)自动化测试经验分享(包括技术原理、SSDLC最佳实务)

4)修补策略经验分享(包括安全模型、策略评估、条件与限制)

3. 安全测试

深入介绍安全测试的各个环节以及自动化实现测试,具体内容包括:

1)威胁建模与威胁分析,包括威胁建模、攻击界面分析、威胁分析、缓解措施与安全策略

2)安全测试方法与技术,包括

A、基于数据流SDL安全测试理论概述

B、测试流程:安全需求分析-〉威胁建模-〉安全测试方案-〉实施-〉评估-〉回归测试

C、黑盒FUZZ安全测试技术初步

D、动态数据流污染安全测试技术初步

E案例讲解

4. 渗透测试

前沿渗透测试技术剖析,了解最新渗透技巧, 具体内容包括:

1)OWASP TOP10漏洞剖析

2)主流渗透实例

A、SQL高级利用实现对操作系统渗透实例
B、CSRF跨站攻击实例
C、中间件安全及防护
D、编码绕过技术(避开输入过滤器、利用二阶SQL注入、混合攻击)