Web应用程序安全培训材料.ppt

WebApplicationSecurityTraining;内容提要;北京邮电大学信息平安中心黄玮;漏洞利用是攻击/渗透的核心;Web应用程序平安模型;我们需要掌握什么;需要掌握的根底知识;进一步需要掌握的知识;经过学习应该到达的根本目标;建议;参考书目;接下来。。。;北京邮电大学信息平安中心黄玮;输入;输入;1.未验证的用户输入-例如;1.未验证的用户输入-描述(1);1.未验证的用户输入-描述(2);1.未验证的用户输入-描述(3);1.未验证的用户输入-解决方案;2.缓冲区溢出;输入;3.注入缺陷-例如;3.注入缺陷-描述;3.注入缺陷-解决方案;输入;4.跨站点脚本(XSS)-例如;4.著名公司的XSS漏洞;4.著名公司的XSS漏洞;4.著名公司的XSS漏洞;4.跨站点脚本(XSS)-描述;4.跨站点脚本(XSS)-解决方案;5.不恰当的错误处理-例如;5.不恰当的错误处理-描述;5.不恰当的错误处理-解决方案;输入;6.脆弱的访问控制-例如;6.脆弱的访问控制-描述;6.脆弱的访问控制-解决方案;7.脆弱认证和会话管理-例如;7.脆弱认证和会话管理-描述;7.脆弱认证和会话管理-解决方案;输入;8.不平安的存储-例如;8.不平安的存储-描述;8.不平安的存储-解决方案;9.不平安的配置管理-描述;9.不平安的配置管理-解决方案;10.拒绝效劳攻击-例如;10.拒绝效劳攻击-描述;10.拒绝效劳攻击-解决方案;输入;11.跨站点请求伪造-例如;11.跨站点请求伪造-描述;11.跨站点请求伪造-解决方案;扩展内容;北京邮电大学信息平安中心黄玮;发现、枚举和参数控制;XSS;注入攻击;CSRF;Web蠕虫演示;Web2.0平安特点小结;北京邮电大学信息平安中心黄玮;总结;Web应用平安展望;有用的工具;相关站点