课程简介
本课程目的是为网络安全行业培养合格的人才。网络安全人才的培养是一项艰巨的任务,其中代码审计人才更是“稀缺资源”。本课程分为4部分。
第1部分 代码审计基础,内容包括开发环境搭建、代码审计环境搭建。
第2部分 常见漏洞审计,介绍了多种常见漏洞的成因以及审计和修复的技巧。
第3部分 常见的框架漏洞,介绍了Java开发中经常使用的一些框架的典型漏洞,如Spring、Struts2等的命令执行漏洞。
第4部分 代码审计实战,通过对真实环境下的Java应用程序进行审计,向读者详细介绍了Java代码审计的技巧与方法。
本课程可供软件开发工程师、网络运维人员、渗透测试工程师、网络安全工程师,以及想要从事网络安全工作的人员阅读。
目标收益
培训对象
课程大纲
| 第一部分:代码安全审计基本原理 |
1.典型漏洞代码案例分析 2.代码审计的基本思想 3.代码审计的现状 4.代码审计对象 5.代码审计的目的 6.代码审计的原则 7.代码审计要素 8.代码审计的内容 9.代码审计与漏洞验证相关工具 10.代码审计方法 11.代码审计技术 12.代码审计指标 |
| 第二部分:java代码安全审计 |
1.Java代码审计所需的基础能力 2.代码审计的常用思路 3.代码审计辅助工具简介 4.测试工具 5.反编译工具 6.ClassLoader类加载机制 7.Java动态代理 8.可用于Java Web的安全开发框架 9.Java代码静态扫描工具 10.FindBugs与FindSecBugs插件 11.公开漏洞查找平台 12.《Java语言源代码漏洞测试规范》解读 13.Java源代码漏洞测试总则 14.Java源代码漏洞测试工具 15.Java源代码漏洞测试文档 16.Java源代码漏洞测试内容 |
| 第三部分: 常见漏洞审计(上) |
1.SQL注入漏洞 2.执行SQL语句的几种方式 3.常见Java SQL注入 4.常规注入代码审计 5.二次注入代码审计 6.SQL注入漏洞修复 7.任意文件上传漏洞 8.常见文件上传方式 9.文件上传漏洞审计 10.文件上传漏洞修复 11.XSS漏洞 12.XSS常见触发位置 13.反射型XSS 14.存储型XSS 15.XSS漏洞修复 16.目录穿越漏洞 17.目录穿越漏洞简介 18.目录穿越漏洞审计 19.目录穿越漏洞修复 20.URL跳转漏洞 21.URL重定向 22.URL跳转漏洞审计 23.URL跳转漏洞修复 24.命令执行漏洞 25.命令执行漏洞简介 26.ProcessBuilder命令执行漏洞 27.Runtime exec命令执行漏洞 28.命令执行漏洞修复 |
| 第四部分: 常见漏洞审计(下) |
1.XXE漏洞 2.XML的常见接口 3.XXE漏洞审计 4.XXE漏洞修复 5.SSRF漏洞 6.SSRF漏洞简介 7.SSRF漏洞常见接口 8.SSRF漏洞审计 9.SSRF漏洞修复 10.SpEL表达式注入漏洞 11.SpEL介绍 12.SpEL漏洞 13.SpEL漏洞审计 14.SpEL漏洞修复 15.Java反序列化漏洞 16.Java序列化与反序列化 17.Java反序列化漏洞审计 18.Java反序列化漏洞修复 19.SSTI模板注入漏洞 20.SSTI漏洞审计 21.SSTI漏洞修复 22.整数溢出漏洞 23.整数溢出漏洞介绍 24.整数溢出漏洞修复 25.硬编码密码漏洞 26.不安全的随机数生成器 |
| 第五部分: 常见的java 框架漏洞 |
1.Spring框架 2.CVE-2018-1260 Spring Security OAuth2 RCE 3.CVE-2018-1273 Spring Data Commons RCE 4.CVE-2017-8046 Spring Data Rest RCE 5.Struts2介绍 6.OGNL表达式介绍 7.S2-045远程代码执行漏洞 8.S2-048远程代码执行漏洞 9.S2-057远程代码执行漏洞 10.OWASP 0 2017”漏洞的代码审计 11.OWASP 0 2017”之外常见漏洞的代码审计 12.Java EE开发框架安全审计 13.Jspxcms代码审计实战 |
|
第一部分:代码安全审计基本原理 1.典型漏洞代码案例分析 2.代码审计的基本思想 3.代码审计的现状 4.代码审计对象 5.代码审计的目的 6.代码审计的原则 7.代码审计要素 8.代码审计的内容 9.代码审计与漏洞验证相关工具 10.代码审计方法 11.代码审计技术 12.代码审计指标 |
|
第二部分:java代码安全审计 1.Java代码审计所需的基础能力 2.代码审计的常用思路 3.代码审计辅助工具简介 4.测试工具 5.反编译工具 6.ClassLoader类加载机制 7.Java动态代理 8.可用于Java Web的安全开发框架 9.Java代码静态扫描工具 10.FindBugs与FindSecBugs插件 11.公开漏洞查找平台 12.《Java语言源代码漏洞测试规范》解读 13.Java源代码漏洞测试总则 14.Java源代码漏洞测试工具 15.Java源代码漏洞测试文档 16.Java源代码漏洞测试内容 |
|
第三部分: 常见漏洞审计(上) 1.SQL注入漏洞 2.执行SQL语句的几种方式 3.常见Java SQL注入 4.常规注入代码审计 5.二次注入代码审计 6.SQL注入漏洞修复 7.任意文件上传漏洞 8.常见文件上传方式 9.文件上传漏洞审计 10.文件上传漏洞修复 11.XSS漏洞 12.XSS常见触发位置 13.反射型XSS 14.存储型XSS 15.XSS漏洞修复 16.目录穿越漏洞 17.目录穿越漏洞简介 18.目录穿越漏洞审计 19.目录穿越漏洞修复 20.URL跳转漏洞 21.URL重定向 22.URL跳转漏洞审计 23.URL跳转漏洞修复 24.命令执行漏洞 25.命令执行漏洞简介 26.ProcessBuilder命令执行漏洞 27.Runtime exec命令执行漏洞 28.命令执行漏洞修复 |
|
第四部分: 常见漏洞审计(下) 1.XXE漏洞 2.XML的常见接口 3.XXE漏洞审计 4.XXE漏洞修复 5.SSRF漏洞 6.SSRF漏洞简介 7.SSRF漏洞常见接口 8.SSRF漏洞审计 9.SSRF漏洞修复 10.SpEL表达式注入漏洞 11.SpEL介绍 12.SpEL漏洞 13.SpEL漏洞审计 14.SpEL漏洞修复 15.Java反序列化漏洞 16.Java序列化与反序列化 17.Java反序列化漏洞审计 18.Java反序列化漏洞修复 19.SSTI模板注入漏洞 20.SSTI漏洞审计 21.SSTI漏洞修复 22.整数溢出漏洞 23.整数溢出漏洞介绍 24.整数溢出漏洞修复 25.硬编码密码漏洞 26.不安全的随机数生成器 |
|
第五部分: 常见的java 框架漏洞 1.Spring框架 2.CVE-2018-1260 Spring Security OAuth2 RCE 3.CVE-2018-1273 Spring Data Commons RCE 4.CVE-2017-8046 Spring Data Rest RCE 5.Struts2介绍 6.OGNL表达式介绍 7.S2-045远程代码执行漏洞 8.S2-048远程代码执行漏洞 9.S2-057远程代码执行漏洞 10.OWASP 0 2017”漏洞的代码审计 11.OWASP 0 2017”之外常见漏洞的代码审计 12.Java EE开发框架安全审计 13.Jspxcms代码审计实战 |
近期公开课推荐
