Java代码安全
发布日期:
2021/1/28 16:52:28
课程大纲:
一、SEI CERT安全编码原则
1、安全编码十大基本原则:
—— 验证输入
—— 注意编译器警告
—— 符合安全策略的安全架构和设计
—— 保持代码简单
—— 默认拒绝
—— 坚持最小权限原则
—— 清理发送到其它系统的数据
—— 深度防御
—— 采用有效的检测技术
—— 采用安全编码标准
2、推荐安全编码实践:
—— 定义安全需求
—— 进行威胁建模
—— 尽早进行安全测试
—— 尽可能多的进行安全测试
二、WEB工程代码审计
1、SQL注入
2、命令注入
3、XML注入
4、XSS跨站脚本
5、XML外部实体(XXE)
6、不安全的反序列化
7、不正确的直接对象引用
8、错误的认证和会话管理
9、跨站请求伪造CSRF及SSRF
10、敏感数据泄露
11、缺少功能层面的访问控制
12、安全配置错误
13、不足的日志记录和监控
14、线程安全问题
15、文件上传和下载
16、不安全的加密存储和传输
课程周期:
18课时(45分/课时)
无标题文档