软件系统安全性测试高级培训
软件系统安全性测试高级培训
课程目标
帮助学员更好地理解软件系统的安全性要求,并掌握安全性测试的基本方法。理解安全性是软件开发生命周期不可忽视的部分。掌握软件系统安全性测试的具体方法和技术,包括渗透测试、基于风险的安全测试等。针对软件应用系统,能够完成软件安全性测试分析与设计,采取正确的安全性测试策略和方法。针对安全性测试的常见难题或结合企业实际项目的安全问题,提出具体的解决方案。
课程特点
结合软件安全性测试的佳实践,由浅及深、由表及里,层层剥离,全面讲解软件系统的安全性需求及其相应的验证方法。通过具体的案例来讨论相关主题,采用讨论+实践相结合的方式,不仅使课程生动有趣,而且学员可轻松掌握所学的软件安全性测试的经验。
培训大纲
章节
内 容
软件应用系统安全性
l 概括地介绍软件系统的安全性,包括网络、操作系统、应用程序、数据等安全性问题。
l 软件安全性需求(加密、安全存取、认证等)
l 弱点和漏洞的区分
l 信息安全问题
l 应用安全需要解决的问题
l 软件系统安全相关规范与标准
l 软件系统中哪些是主要的安全性问题、危害大的安全性问题?
软件安全性测试之基础
l 全面介绍软件安全性知识,包括安全方针、规则、攻击程序和历史风险等
l 软件安全性测试
l 密码学
软件安全性概念及其测试方法
l 安全性测试思想(联系性、破坏性、逆向性等)
l 软件安全性测试方法概述
l 静态测试与动态测试
l 渗透测试
l 如何进行渗透测试
l 安全性测试工具的介绍
静态安全性测试
l 首先从微观来看程序代码有哪些安全性问题,以及如何进行检验。
Web 安全性测试
l Web 安全性问题在各种应用系统中更为突出,也是本课程讲解的重点内容。
l Web 服务安全性
l Web 应用安全测试原理
l URL 重定向攻击
l 输入验证
l 浏览器安全问题
l 文件上传
l SQL注入及其实例
l 常见Web 安全测试辅助工具介绍
系统功能安全性验证
l 对于软件系统,无论是web 应用系统,还是传统的客户端系统,功能的安全性也是不可忽视的问题。
l 口令安全性
l 身份验证与授权
l 访问控制策略验证
l 操作日志检查
l 与安全相关的配置检查
数据安全性验证
l 系统功能安全只是一个方面,数据的安全是另一个不可忽视的方面。
l 数据加密和解密
l 数据的独立性
l 数据的完整性
l 数据备份和灾难恢复
未来软件安全性测试技术发展
l 未来软件安全性测试技术的主要发展方向
l 提问与解答