软件开发安全培训方案时间主题内容第一天上午9:00-12:00第一部分软件开发各阶段安全要求1.SDLC简介2.项目启动和规划阶段3.功能需求阶段4.系统设计阶段5.系统创建阶段6.系统接收阶段7.系统部署、维护和更新阶段第二部分软件开发及应用中的安全原则1.标识和鉴别技术2.访问控制常用方法与手段3.最小特权原则4.职责分离5.访问控制列表ACL第一天下午13:30-17:00第三部分密码学应用1.消息完整性验证与数字签名2.公钥基础设施PKI原理3.身份验证流程4.中间人攻击介绍第四部分Web安全事件分析1.Web攻击事件分析2.常见Web入侵途径3.人员安全意识教育第一天结束第二天上午9:00-12:00第五部分BS架构常见安全问题1.BS架构常见安全问题第六部分拒绝服务攻击基础2.Smurf攻击模型3.Fraggle攻击模型4.SynFlooding攻击模型5.碎片攻击第七部分BS架构结构端口扫描分析1.SuperScan工具2.Nmap端口扫描工具第二天下午13:30-17:00第八部分输入验证攻击基础知识1.输入验证攻击基本概念2.Unicode漏洞介绍3.输入验证二次解码漏洞介绍第九部分脚本注入基础知识1.脚本注入基本概念2.脚本注入检测3.脚本注入信息获取4.脚本注入提权5.盲注脚本第十部分跨站脚本原理及防御1.跨站脚本基本概念2.跨站脚本实例3.跨站脚本解决方法第二天结束第三天上午9:00-12:00第十一部分Web权限提升分析1.Web权限提升基本概念2.WebShell上传方法第十二部分攻击工具介绍1.注入攻击工具原理2.注入攻击工具分析3.注入攻击工具使用练习(注入漏洞试验平台)HacmeCasino盲注漏洞第十三部分注入攻击工具使用练习(ASP+SQLServer注入攻击实战)1.小竹NIST注入攻击工具使用2.啊D2.0注射工具使用3.HDSI注入攻击工具使用4.Domain32攻击工具第三天下午13:30-17:00第十四部分脚本及代码安全及解决方案1.SQLInjection2.存储过程注入3.CommandInjection4.跨站脚本攻击5.CSRF攻击6.HTTPHEADInjection7.文件上传8.管理界面泄露9.Ajax10.WebService第十五部分安全编码规范1.输入输出规范2.WEB技术规范3.文件系统规范4.网络系统规范5.数据库系统规范6.代码审计工具7.代码人工审计第十六部分数据安全1.数据交互-边界安全检查2.数据传输安全3.数据存储安全4.据存储安全第三天结束本文出自《中培教育》