Course Code:
bappint
Duration:
14 hours
Overview:
此培训面向使用储存个人和秘密资料的系统的管理员和程式设计师。训练内容包括对经典 Web 应用程式的所有前线的概述、每个前线最重要的威胁以及最新的防御方法。讨论的问题包括 OWASP Top 10 2021 和 CWE Top 25 2021 中的问题,以及一些非主流但在实际攻击中使用的问题。每期最后都附有一系列建议,您可以立即将其应用到您的应用程式中,并为好奇的人提供进一步阅读的建议。这项培训被设计为一个关于现代网路平台安全性的概念上连贯的故事,推广最成熟的组织所使用的解决方案。
Course Outline:
第1部分。介绍
基本概念
- 安全限值
- 弹簧和沉的隐喻
- AppSec 杀伤链
- 威胁建模
第2部分。后端
后端审核
- 攻击向量和资产
- 后端威胁模型
应用程式边界
- 一线线概述
- 身份验证和授权
- 会话管理
- 输入验证
资料库边界
- 一线线概述
- SQL 注射
- NoSQL 注射
操作系统边界
- 一线线概述
- 记忆体安全
- 命令注入
- 路径遍历
- 上传文件的优缺点
- XML 外部实体引用
- 反序列化
第3部分。前端
前端评论
- 饼干的悲剧
- 单源策略
- Java脚本
- 前端威胁模型
原产地边界
- 一线线概述
- 跨网站脚本
- 跨网站请求伪造
- 跨网站泄漏
- 其他问题
第 4 部分。大问题
如何保守秘密?
- 金钥管理
- 敏感数据管理
如何保证代码和数据的完整性?
- 供应链攻击
- 缓存中毒
如何保持可用性?
- 关于写日记的重要性
- 自愈系统
- 幸存的灾难
- 幸存的卷攻击
Sites Published: