安全测试企业内训大纲.pdfVIP

咨询QQ：280970856 【课程背景】 随着安全危机的不断爆发，软件安全成为了越来越需要被重视的问题。未来安全测试将 广泛应用于软件测试的各个阶段。而web安全则是软件安全的重中之重。 Web安全测试是什么？Web安全测试该怎样进行？Web安全漏洞都包含哪些？这些漏洞 的原理是什么？我们又该如何进行测试？而这些漏洞该如何进行防范？在软件测试实践中， 如何在项目开始时规划合理 安全测试目标？等等，都是项目团队和测试人员面对的诸多挑 战。本课程将围绕上述主题展开详细讲解，培养和提升web安全测试能力。 【课程对象】 测试主管、项目测试团队、参与项目的项目团队成员、项目经理等。 【课程特色】 采用小班教学，大量生动的实战案例，娴熟的专业化培训技巧，善于运用视频展示、小 组讨论，案例分析等培训方式，让学员在互动中体验真谛，在轻松的氛围中掌握安全测试技 巧。课程采用顾问式培训方式和行动学习理念，课堂中设置工作实际问题研讨和点评环节， 突出培训的实用性和针对性。 【课程内容大纲】 单元一 安全测试概要 1.1 web应用基础剖析 什么是web应用？ Web应用架构简介 当前web应用安全现状分析 1.2 web安全概要 什么是web安全测试 黑客都在做什么？ 安全测试人员都在做什么？ 日常哪些网上行为其实是与安全测试息息相关的？ 两个国际应用安全组织 Web应用十大安全隐患 1.3 web安全测试基础 Http协议（请求，响应，状态码等） 编码方案（Base64、URL编码等） 加密解密 咨询QQ：280970856 Web安全测试流程 先验测试与蜜罐测试 单元二 安全测试准备工作 2.1 核心防御机制 Web应用安全的原则 核心防御机制组成核心因素 处理用户访问的三层安全架构 核心防御机制如何处理用户输入 如何处理攻击者 2.2 解析应用程序 如何自动抓取内容 Spider的使用 完全自动化抓取的限制 发现隐藏内容 分析应用程序核心功能 预测漏洞 解析受攻击面 设计测试策略 单元三 安全测试工具 3.1 Burpsuite 工具简介 Proxy功能 Spide功能 Repeater使用 Intruder 核心安全模块 Sequencer 会话令牌分析 3.2 sqlmap 3.3 webscrab 3.4 其他工具 咨询QQ：280970856 单元四 安全测试原理 4.1 绕过客户端控件 绕过表现形式 什么控件和逻辑会被绕过 绕过html验证 绕过隐藏表单字段 绕过cookie 实例教学演示 4.2 攻击验证机制 验证机制是什么 验证技术 密码保密强度 暴力破解 双因子认证 嗅探报错信息 攻坚 “忘记密码”功能 用户伪装的攻击 多阶段登陆机制 不安全的证书存储 实例教学演示 专题：由一个简单登录模块引发的安全攻击 专题：那些年被小伙伴们蠢哭了的那些事儿--忘记密码 （搜狐、PPS等大型电商实例） 4.3 会话管理劫持 会话管理机制 什么是会话令牌 常出现的安全漏洞 令牌生成时的攻击 隐含序列的会话令牌破解 依赖时间的令牌