安全测试培训
OWASP Top 10 渗透测试培训
安全测试培训,高效学习、实战思考,学习安全测试知识,提高安全知识水平。
项目背景
客户是一家专注于资产绩效管理的国际管理咨询公司,其主要对外提供管理和技术的专业服务,确保所有业务流程从战略定义到管理再到组织设计都是有效、高效和可持续的。
因信息安全正天然逐步成为各类解决方案的一部分,该客户认为对于自身提供的应用解决方案的安全性检验和研发安全意识有提高的必要,因此引入该培训项目加强信息安全概念、安全漏洞原理和测试流程的学习。
方案实施
安全团队基于对OWASP的理解和实践经验,针对OWASP TOP10漏洞进行定向课程开发,其特色有:
从理论到实例
针对客户的不同要求进行课程深度地订制
从测试到安全编码
课程内容如下:
| 课程编号 | 课程名称 | 主要内容 |
|---|
| 1 | 功守道-入侵防御之道 | 体验黑客攻击的主要方法,讲解网络攻防中常见的攻击手段和防御方式。 |
| 2 | 用户并非西西弗斯-注入漏洞 | 展示和讲解注入漏洞形成的原理和防范措施。 |
| 3 | 没有短板的木桶-认证和SESSION管理 | 实际演示认证和SESSION常见漏洞及危害,讲解如何设计一个安全的认证和SESSION管理系统。 |
| 4 | 可怕的梦魇-信息泄露 | 演示如何进行敏感信息搜集,展示常见的信息搜集技巧和方式,避免敏感信息泄露的方式。 |
| 5 | 别样的注入-XXE注入 | 搭建存在XXE漏洞的网站,实际演示利用XXE漏洞进行攻击的过程,讲解XXE漏洞的原理和防范措施。 |
| 6 | 潜伏的危机-失效的权限控制 | 演示权限漏洞,介绍权限漏洞的危害。展示权限漏洞产生的原因和修复的方式,常规权限漏洞的挖掘方式和利用手段。 |
| 7 | 阿喀琉斯之踵-不安全的配置 | 演示利用不安全配置所能造成的影响和危害程度,展示常见的配置方式以及配置一个安全的应用系统的要素。 |
| 8 | 瑞士军刀-XSS | 讲解演示XSS漏洞的危害,利用XSS漏洞所能造成的影响范围和程度,展示XSS漏洞防御措施和检验方式。 |
| 9 | 安全新秀-不安全的反序列化 | 利用反序列漏洞控制服务器,展示序列化漏洞的危害、防御手段和补救措施。 |
| 10 | 老生常谈-不安全的第三方组件 | 讲解不安全的第三方组件对系统安全造成的影响,分析常见不安全第三方组件和应对的措施。 |
| 11 | 事后诸葛-不足的日志监控 | 演示安全事故处理中遇到的日志分析案例,介绍日志的分析方式、各Web容器、系统平台的日志配置方式等。 |
培训效果
经过此次Web渗透测试培训,客户方的研发人员对于Web应用安全有了初步的了解,理解和基本掌握了OWASP TOP10中各项漏洞的原理、检测方法和防御修复手段,也提高了开发人员的安全编码意识和能力。