軟件安全測試培訓課程
?
課程目標:
?
幫助學員更好地理解軟件系統的安全性要求���,并掌握安全性測試的基本方法�。理解安全性是軟件開發生命周期不可忽視的部分����。掌握軟件系統安全性測試的具體方法和技術,包括滲透測試�、基于風險的安全測試等。針對軟件WEB應用系統�,能夠完成軟件安全性測試分析與設計,采取正確的安全性測試策略和方法���。針對安全性測試的常見難題或結合企業實際項目的安全問題�,提出具體的解決方案���。
課程特點
結合軟件安全性測試的最佳實踐����,由淺及深、由表及里�,層層剝離,全面講解軟件系統的安全性需求及其相應的驗證方法����。通過具體的案例來討論相關主題,采用討論+實踐相結合的方式���,不僅使課程生動有趣���,而且學員可輕松掌握所學的軟件安全性測試的經驗。
?
課程大綱:
?
培訓大綱
|
時 間
|
主 題
|
內 ?容
|
|
?
|
軟件應用系統安全性
|
l?概括地介紹軟件系統的安全性���,包括網絡����、操作系統�、應用程序、數據等安全性問題�。
l?軟件安全性需求(加密、安全存取���、認證等)
l?弱點和漏洞的區分
l?信息安全問題
l?應用安全需要解決的問題
l?軟件系統安全相關規范與標準
l?軟件系統中哪些是最主要的安全性問題�、危害最大的安全性問題���?
|
|
?
|
軟件安全性測試之基礎
|
l?全面介紹軟件安全性知識����,包括安全方針�、規則、攻擊程序和歷史風險等
l?軟件安全性測試
l?密碼學
|
|
?
|
軟件安全性概念及其測試方法
|
l?安全性測試思想(聯系性���、破壞性���、逆向性等)
l?軟件安全性測試方法概述
l?靜態測試與動態測試
l?滲透測試
l?如何進行滲透測試
l?安全性測試工具的介紹
|
|
?
|
靜態安全性測試
|
l?首先從微觀來看程序代碼有哪些安全性問題,以及如何進行檢驗�。
|
|
?
|
Web?安全性測試
|
l?Web?安全性問題在各種應用系統中更為突出,也是本課程講解的重點內容�。
l?Web?服務安全性
l?Web?應用安全測試原理
l?URL?重定向攻擊
l?輸入驗證
l?瀏覽器安全問題
l?文件上傳
l?SQL注入及其實例
l?常見Web?安全測試輔助工具介紹
|
|
?
|
系統功能安全性驗證
|
l?對于軟件系統,無論是web?應用系統�,還是傳統的客戶端系統,功能的安全性也是不可忽視的問題�。
l?口令安全性
l?身份驗證與授權
l?訪問控制策略驗證
l?操作日志檢查
l?與安全相關的配置檢查
|
|
?
|
數據安全性驗證
|
l?系統功能安全只是一個方面,數據的安全是另一個不可忽視的方面����。
l?數據加密和解密
l?數據的獨立性
l?數據的完整性
l?數據備份和災難恢復
|
|
?
|
未來軟件安全性測試技術發展?
|
l?未來軟件安全性測試技術的主要發展方向
l?提問與解答
|
?
