課程內容：?

WEB應用安全概論

l? 信息安全發展趨勢

l? 應用系統介紹

l? 應用安全現狀分析

OWASP TOP 10（一）

l? 介紹OWASP TOP 10，配和代碼講解（注：以下包括部分講解問題）

2?? 注入－Injection

2?? 跨站腳本－XSS

2?? 失效的驗證和會話管理

2?? 不安全的直接對象訪問

2?? 跨站偽造請求－CSRF

OWASP TOP 10（二）

l? 介紹OWASP TOP 10，配和代碼講解（注：以下包括部分講解問題）

2?? 不正確的安全設置

2?? 不安全的加密存儲

2?? URL訪問限制缺失

2?? 沒有足夠的傳輸層防護

2?? 未驗證的重定向和跳轉

代碼安全測試介紹

l? 代碼手工測試介紹以及案例講解

l? 自動化測試介紹及案例講解，配合相關工具使用（包括技術原理分析，誤報排查）

l? 代碼安全修復策略分享（安全架構，安全策略評估，適用場景）

代碼安全測試介紹

l? 代碼手工測試介紹以及案例講解

l? 自動化測試介紹及案例講解，配合相關工具使用（包括技術原理分析，誤報排查）

l? 代碼安全修復策略分享（安全架構，安全策略評估，適用場景）

框架安全介紹

l? 介紹主流框架的安全機制（Struts,Spring,Hibernate,Seam）

l? 介紹主流框架的安全缺陷（Struts,Spring,Hibernate）

安全部署

l? Web服務器安全漏洞和修復策略

l? 中間件服務器安全漏洞和修復策略

l? 數據庫服務器安全漏洞和修復策略

HTTP協議及嗅探抓包

l? HTTP協議簡介

l? 嗅探抓包及在滲透中的利用（含實驗）

軟件安全開發生命周期（SDL）

l? 介紹安全開發生命周期整個過程

2?? 安全需求分析

2?? 安全設計

2?? 安全編程

2?? 安全測試

2?? 安全部署