安全編碼規(guī)范與WEB安全構架培訓學習學校

模塊名稱

課程內(nèi)容

總體簡介

安全開發(fā)流程和安全編碼的基本原則。

一、?輸入數(shù)據(jù)安全

1.?輸入即有害（sql原理詳解及演示）

2.?輸入數(shù)據(jù)的驗證原則：A、輸入數(shù)據(jù)的驗證原則（前端繞過問題）B、編碼的字符集問題（寬字節(jié)注入詳解及演示）C、對所有來自用戶的數(shù)據(jù)進行驗證（二次注入詳解及演示）

3.?數(shù)據(jù)的預處理

4.?驗證數(shù)據(jù)內(nèi)容：A、驗證數(shù)據(jù)范圍（SSRF攻擊詳解）B、驗證數(shù)據(jù)長度（基于約束條件的SQL攻擊詳解及演示）C、?驗證正確的數(shù)據(jù)類型（反序列化攻擊詳解）

5.?編寫危險字符的處理流程

二、?輸出數(shù)據(jù)驗證

1.?輸出編碼（XSS跨站攻擊詳解及演示）

2.?錯誤信息必須進行凈化（google hacking攻擊）

3.?基于查詢的輸出凈化（實體注入攻擊詳解）

4.?輸出數(shù)據(jù)的凈化問題（HTTP拆分攻擊詳解及演示

三、?編程與加密

1.?hash的應用和弱點（HASH擴展攻擊詳解及演示）

2.?密碼旁路攻擊的危害（oracle padding攻擊詳解及演示）

四、?身份驗證和密碼管理

1.?身份驗證的保護（驗證碼安全及基于驗證碼的爆破）

2.?Owasp基于身份驗證的流程建議（密碼重置攻擊詳解）

3.?密碼及密碼管理規(guī)范

五、?訪問控制管理

1.?授權用戶管理和驗證（越權攻擊、基于邏輯漏洞的驗證繞過、針對cookie的攻擊）

2.?用戶最小權限規(guī)則（各種因為權限處理不當造成的提權漏洞演示，兼談WEB服務器中文件、目錄的相應權限設置）

3.?用戶權限的生命周期

六、?數(shù)據(jù)保護問題

1.?源代碼安全

2.?日志與清理痕跡

3.?信息泄露漏洞，兼談在安全中的個人安全意識問題

七、?文件管理

1.?文件的調用和包含（文件包含漏洞詳解與演示）

2.?文件上傳與文件解析（漏洞詳解與演示）

3.?文件的驗證白名單機制