Course Code:
bappint
Duration:
14 hours
Overview:
此培訓面向使用儲存個人和秘密資料的系統的管理員和程式設計師。訓練內容包括對經典 Web 應用程式的所有前線的概述、每個前線最重要的威脅以及最新的防禦方法。討論的問題包括 OWASP Top 10 2021 和 CWE Top 25 2021 中的問題,以及一些非主流但在實際攻擊中使用的問題。每期最後都附有一系列建議,您可以立即將其應用到您的應用程式中,並為好奇的人提供進一步閱讀的建議。這項培訓被設計為一個關於現代網路平台安全性的概念上連貫的故事,推廣最成熟的組織所使用的解決方案。
Course Outline:
第1部分。介紹
基本概念
- 安全限值
- 彈簧和沉的隱喻
- AppSec 殺傷鏈
- 威脅建模
第2部分。後端
後端審核
- 攻擊向量和資產
- 後端威脅模型
應用程式邊界
- 一線線概述
- 身份驗證和授權
- 會話管理
- 輸入驗證
資料庫邊界
- 一線線概述
- SQL 注射
- NoSQL 注射
操作系統邊界
- 一線線概述
- 記憶體安全
- 命令注入
- 路徑遍曆
- 上傳文件的優缺點
- XML 外部實體引用
- 反序列化
第3部分。前端
前端評論
- 餅乾的悲劇
- 單源策略
- Java腳本
- 前端威脅模型
原產地邊界
- 一線線概述
- 跨網站腳本
- 跨網站請求偽造
- 跨網站洩漏
- 其他問題
第 4 部分。大問題
如何保守秘密?
- 金鑰管理
- 敏感數據管理
如何保證代碼和數據的完整性?
- 供應鏈攻擊
- 緩存中毒
如何保持可用性?
- 關於寫日記的重要性
- 自愈系統
- 倖存的災難
- 倖存的捲攻擊
Sites Published: