课程大纲：
一、SEI CERT安全编码原则
    1、安全编码十大基本原则：
       —— 验证输入
       —— 注意编译器警告
       —— 符合安全策略的安全架构和设计
       —— 保持代码简单
       —— 默认拒绝
       —— 坚持最小权限原则
       —— 清理发送到其它系统的数据
       —— 深度防御
       —— 采用有效的检测技术
       —— 采用安全编码标准
    2、推荐安全编码实践：
       —— 定义安全需求
       —— 进行威胁建模
       —— 尽早进行安全测试
       —— 尽可能多的进行安全测试
二、WEB工程代码审计
    1、SQL注入
    2、命令注入
    3、XML注入
    4、XSS跨站脚本
    5、XML外部实体(XXE)
    6、不安全的反序列化
    7、不正确的直接对象引用
    8、错误的认证和会话管理
    9、跨站请求伪造CSRF及SSRF
    10、敏感数据泄露
    11、缺少功能层面的访问控制
    12、安全配置错误
    13、不足的日志记录和监控
    14、线程安全问题
    15、文件上传和下载
    16、不安全的加密存储和传输
课程周期：
18课时（45分/课时）