安全开发与网站安全性维护

培训对象:

有一定前端开发或者后端开发经验的程序员,以及服务器运行维护人员,以及企业内部信息化安全培训人员。

培训目标:

1.了解程序因为什么而产生了安全隐患
2.了解安全隐患会如何被恶意用户利用
3.了解安全隐患会产生什么样的影响
4.掌握在编程时使用什么方法能消除这些安全隐患
5.掌握这些方法是如何消除这些安全隐患的
6.掌握Web安全基础
7.掌握如何防爬虫,较少爬虫对系统性能的影响
8.掌握跨站脚本XSS、跨站请求伪造、SQL注入攻击等

 

课程时长:1天(7学时)

课程方式:

传统的面对面授课方式。

 

课程大纲:

课程名称 内容介绍
代码安全性 本节介绍如何编写安全代码,包括代码益处漏洞攻击的原理和实现。代码与系统资源访问权限管理。系统线程安全与管理。代码网络访问安全限制与管理。代码质量控制方法。
网络传输层安全 本节内容通过介绍有线网络和无线网络的安全构建,提示如何避免传输层的信息泄露和回话劫持。网络传输过程中,通过端口镜像监听明文数据导致的信息泄露,以及网关篡改数据造成的中间人攻击屡见不鲜,本内容通过介绍这些技术的手法来提示开发者避免被攻击。
数据库应用安全 本节内容介绍常见的数据库设计不安全隐患,提示如何通过配置和编写代码避免数据库泄露。
数据库常见的问题包括具有较低权限的用户通过跨表查询获得更高的权限,某些用户的查询导致死锁使服务器停止响应。这里介绍一些常见的数据库优化技巧来避免这些问题。
Web后端代码安全 介绍常见的后端代码编写语言中可能引入的安全风险,介绍如何避免这些风险。后端代码过滤包括避免数据库
注入攻击,避免恶意代码获得不安全的DLL引用导致获得shell权限等问题。
Web前端代码安全 介绍常见的Web前端侵入技术,例如XSS(Cross-Site Scripting)跨站脚本攻击,跨域的脚本执行等。
前端代码的注入已经成为了目前最为常见的攻击模式。
浏览器安全隐患分析 本部分介绍桌面浏览器常见的安全隐患,通过讲解浏览器的工作方式,让用户了解针对不同浏览器的攻击特质。
服务器安全 本节内容介绍常见的服务器侵入技术,同时介绍如何通过配置避免服务器被扫描和入侵。不同的Web服务器都曾经爆出过各种溢出漏洞,常见的情况是因为编码等原因对URL信息处理不当,导致通过HTTP请求获得SHELL权限,本节内容介绍常见的服务器中此类漏洞,并提示开发者加以避免。