• 参会报名
  • 课程介绍
  • 课程大纲
  • 讲师介绍
  • 课程费用
  • 邀请函下载

首页 > 商务会议 > IT互联网会议 > 张银奎培训公开课:网络安全与穿透测试训练营(2017年4月,深圳站) 更新时间:2017-07-19T16:44:42

张银奎培训公开课:网络安全与穿透测试训练营(2017年4月,深圳站)
收藏人
分享到

张银奎培训公开课:网络安全与穿透测试训练营(2017年4月,深圳站) 已过期

会议时间:2017-04-22 08:00至 2017-04-23 18:00结束

会议地点: 深圳  详细地址会前通知  

会议规模:暂无

主办单位: 麦思博软件技术有限公司

发票类型:增值税普通发票 增值税专用发票

行业热销热门关注看了又看 换一换

        课程介绍

        课程介绍 主办方介绍


        张银奎培训公开课:网络安全与穿透测试训练营(2017年4月,深圳站)

        张银奎培训公开课:网络安全与穿透测试训练营(2017年4月,深圳站)宣传图

        课程详细

        2天课程

        课程信息

        时间长度:2天 (每天7小时) 围绕Web应用的安全性这一主题,本培训重点覆盖以下三方面的内容:(一)分门别类讲解常见安全漏洞的攻防原理,包括SQL注入、Cross-Site Scripting(XSS)、CSRF、溢出等;(二)以穿透测试为核心的安全测试方法和工具,包括Kali Linux环境和Metasploitable 2;(三)提高Web系统安全性的最佳实践,主要针对开发过程,穿插部分服务器和数据库配置与管理的经验分享。

        查看更多

        麦思博软件技术有限公司 麦思博软件技术有限公司

        麦思博(msup)有限公司发源美国西雅图,2007年创办,是一家面向技术型组织的培训咨询机构,服务于技术团队的技能提升、软件工程的实际应用和产品品质的创新与超越。强调人员、技术、流程和管理的有机结合,注重角色岗位的技能提升与职业发展,以及技术团队复合管理与协作。每年超过1000家企业续单参与msup旗下公开课、工作坊、案例研究、国际游学等培训项目。

        课程大纲


        主题

        内容

        训练营环境和形式:专用局域网 + 包含专业穿透测试工具的虚拟机(Kali Linux)+ 模拟被攻击系统的服务器(Metasploitable 2),学员两人一组在讲师指导下完成训练任务

        第一部分:Web应用安全基础 (1.5小时)
        要点:70%的网络攻击是通过网络应用,防火墙对Web应用攻击爱莫能助,网络安全与应用安全比较,Open Web Application Security Project(OWASP),OQASP的十大Web应用漏洞列表,最危险的25个软件错误,输入验证,黑名单验证,白名单验证,缩写攻击面,DataTable v.s. DataSet(.Net实例),threat classification,STRIDE,IIMF,Common Weakness Enumeration (CWE)

        第二部分:用户认证(1.5小时)
        要点:HTTP基础(请求、HTTP头、HTTP方法、HTTP应答、状态码),HTTP验证,基本的HTTP访问验证,使用哈希算法的访问验证,Windows认证,Man-in-the-Middle攻击,Single sign-on (SSO),自定义的认证系统,基于密码的认证,密码攻击,关于密码保护的最佳实践

        第三部分:穿透测试基础(1小时)
        要点:Pentest,背景,测试过程,重要资源,Kali Linux, 安装,十大工具,Metasploitable 2,下载和安装,实例演示

        穿透测试训练营之一 (1.5小时)

        第四部分:授权(1.5小时)
        要点:会话管理,授权基础,目标,授权过程,访问控制模型:Discretionary Access Control (DAC)、Mandatory Access Control (MAC)、Role-Based Access Control (RBAC)、混合方案,许可类型,分层模型,客户端攻击,Time of check to time of use(TOCTOU),Cross-Site Request Forgery (CSRF), Session ID,会话状态,Cookie,cookie poisoning(窜改),SSL和HTTPS,Session Hijacking,最佳实践:强制会话超时,控制会话并发,安全使用cookie,HttpOnly

        第五部分:浏览器安全原则 (1.5小时)
        要点:同源原则,例外,cross-origin resource sharing (CORS),XDomainRequest;cross-site scripting (or XSS),XSS攻击,Reflected XSS (Type-1 XSS),Stored XSS(Type-2 XSS), DOM-based XSS (Type-0 XSS),HTML Injection,防卫方法:输出编码,净化输入,HttpOnly;Cross-Site Request Forgery (CSRF),案例:2011年3月发现的Android Market漏洞,HTTP GET,防卫CSRF攻击

        第六部分:数据库安全原则 (1.5小时)
        要点:SQL Injection,原理,演示,真实案例:2011年LulzSec组织对Sony Music网站的SQL Injection攻击,防卫方法;设置数据库许可,存储过程,特权控制,ad-hoc SQL,直接对象引用

        穿透测试训练营之二 (1.5小时)

        第七部分:文件安全原则(1小时)
        要点:静态内容和动态内容,文件备份,forceful browsing,目录枚举,不安全的直接对象引用,扩展名猜测

        第八部分:安全开发(1.5小时)
        要点:未雨绸缪,SDL,安全编程,托管代码的安全优势,.Net框架中的安全设施,安全的库,安全测试,OWASP Comprehensive Lightweight Application Security Process (CLASP),Security = Hardware + Software + Process

        查看更多

        讲师介绍


        张银奎培训公开课:网络安全与穿透测试训练营(2017年4月,深圳站)

        张银奎

        Intel

        前英特尔软件架构师,系统调试专家

        微软全球最有价值技术专家(MVP),同济大学电子与信息工程学院特邀讲师。 《软件调试》、《格蠹汇编》的作者,新版《十万个为什么》电子分册撰稿人之一,《程序员》杂志调试之剑栏目作者 。
        1996年毕业于上海交通大学信息与控制工程系,在软件产业工作20年,在多家跨国公司历任开发工程师、软件架构师、开发经理、项目经理等职务,对 IA-32 架构、操作系统内核、驱动程序、虚拟化技术、云计算、软件调优、尤其是软件调试有较深入研究。
        从2005年开始公开讲授“Windows内核及高级调试”课程,曾在微软的Webcast和各种技术会议上做过《Windows Vista内核演进》、《调试之剑》(全球软件案例研究峰会)、《感受和思考调试器的威力》(CSDN SD2.0大会)、《Windows启动过程》、《如何诊断和调试蓝屏错误》、《Windows体系结构——从操作系统的角度》等。
        讲师认为软件瑕疵是个永恒的难题,因此在这方面投入了很多时间,探索出了一套以调试器为核心的方法。与瑕疵和调试相关的另一个永恒难题就是软件的安全性。安全漏洞,可以说是一种特别的瑕疵。发现和研究安全漏洞离不开调试方法。因此花费大量时间研究软件安全和渗透测试。
        翻译(合译)作品有《观止——微软创建NT和未来的夺命狂奔》、《数据挖掘原理》、《机器学习》、《人工智能:复杂问题求解的结构和策略》等。

        查看更多

        课程费用

        课程费用


        课程费用:5800元/人。

        查看更多

        温馨提示
        酒店与住宿: 为防止极端情况下活动延期或取消,建议“异地客户”与活动家客服确认参会信息后,再安排出行与住宿。
        退款规则: 活动各项资源需提前采购,购票后不支持退款,可以换人参加。

        活动家为本会议官方合作
        报名平台,您可在线购票

        会议支持:

        • 会员折扣
          该会议支持会员折扣
          具体折扣标准请参见plus会员页面
        • 会员返积分
          每消费1元累积1个会员积分。
          仅PC站支持。
        • 会员积分抵现
          根据会员等级的不同,每抵用1元可使用的积分也不一样,具体可参见PLUS会员页面。 仅PC站支持。

        部分参会单位

        主办方没有公开参会单位

        邮件提醒通知

        分享到微信 ×

        打开微信,点击底部的“发现”,
        使用“扫一扫”即可将网页分享至朋友圈。

        录入信息

        请录入信息,方便生成邀请函