- 论坛徽章:
- 0
|
OWASP—WEB安全认证专家培训
【认证机构介绍】 www.owasp.org.cn
OWASP(开放Web软体安全项目- Open Web Application Security Project)是一个开放社群、非营利性组织,目前全球有82个分会近万名会员,其主要目标是研议协助解决Web软体安全之标准、工具与技术文件,长期致力于协助政府或企业了解并改善网页应用程式与网页服务的安全性。由于应用范围日广,网页应用安全已经逐渐的受到重视,并渐渐成为在安全领域的一个热门话题,在此同时,骇客们也悄悄的将焦点转移到网页应用程式开发时所会产生的弱点来进行攻击与破坏。
OWASP在业界影响力:美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP所发布的十大Web弱点防护守则、 美国国防部亦列为最佳实务,国际信用卡数据安全技术PCI标准更将其列为必要组件。
OWASP研究内容:目前OWASP有30多个进行中的计划,包括最知名的OWASP Top 10(十大Web弱点)、WebGoat (代罪羔羊)练习平台、安全PHP/Java/ASP.Net等计划,针对不同的软件安全问题在进行讨论与研究。
伴随互联网技术的发展,更多的业务系统将基于B/S架构设计,基于web的安全威胁与日俱增。OWASP中国将尽最大的努力,推动应用安全相关技术在中国的发展!
【培训机构介绍】 www.gooann.com
谷安咨询成立于2007年,是业内处于领先地位,致力于 IT 风险管理咨询、IT服务管理、信息安全、IT 审计、IT 治理等领域的专业咨询与培训机构 。公司致力于吸收国际上最先进的IT风险管理理念,结合国内行业特点,保持独立、中立和客观的立场,为客户提供量身定做并且遵循国际标准的IT服务。
谷安培训事业部以满足客户实际培训需求为目标,以提供优质培训服务为宗旨,以定位高端、与时俱进以及案例教学为特色。主要服务于政府、金融、电信、移动等重要行业。谷安拥有一套完善成熟的信息安全培训体系和授课质量服务体系,培训内容涵盖信息安全意识、信息安全技术、信息安全理论、以及CISA、CISSP、CISP、ISO27001LA、ITIL等国际、国内认证,2011年谷安天下联合OWASP中国隆重推出WEB安全认证专家课程,相关内容如下。
【OWASP-WEB安全认证专家课程大纲】
> 第一天上午
9:00~10:00 培训开始 讲师自我介绍
课程介绍 & 培训内容介绍
培训注意事项
WEB应用安全概论 信息安全发展趋势
应用系统介绍
应用安全现状分析
10:00~10:10 茶 歇
10:10~11:30 OWASP TOP 10(一)
介绍OWASP TOP 10,配和代码讲解(注:以下包括部分讲解问题)
注入-Injection
跨站脚本-XSS
失效的验证和会话管理
不安全的直接对象访问
跨站伪造请求-CSRF
11:30~11:50 讨论 和学员进行交流,对存在的问题进行讨论
>> 第一天下午
13:30~15:00 OWASP TOP 10(二) 介绍OWASP TOP 10,配和代码讲解(注:以下包括部分讲解问题)
不正确的安全设置
不安全的加密存储
URL访问限制缺失
没有足够的传输层防护
未验证的重定向和跳转
15:00~15:10 茶 歇
15:10~16:00 代码安全测试介绍 代码手工测试介绍以及案例讲解
自动化测试介绍及案例讲解,配合相关工具使用(包括技术原理分析,误报排查)
代码安全修复策略分享(安全架构,安全策略评估,适用场景)
16:00~16:10 茶 歇
16:10~17:10 代码安全测试介绍 代码手工测试介绍以及案例讲解
自动化测试介绍及案例讲解,配合相关工具使用(包括技术原理分析,误报排查)
代码安全修复策略分享(安全架构,安全策略评估,适用场景)
17:10~17:30 讨论 和学员进行交流,对存在的问题进行讨论
17:30 第一天培训结束 第一天培训结束
>>> 第二天上午
9:00~9:15 培训开始 第一天培训内容回顾
9:15~10:30 框架安全介绍 介绍主流框架的安全机制(Struts,Spring,Hibernate,Seam)
介绍主流框架的安全缺陷(Struts,Spring,Hibernate)
10:30~10:40 茶 歇
10:40~11:50 安全部署 Web服务器安全漏洞和修复策略
中间件服务器安全漏洞和修复策略
数据库服务器安全漏洞和修复策略
>>>> 第二天下午
13:30~14:50 HTTP协议及嗅探抓包 HTTP协议简介
嗅探抓包及在渗透中的利用(含实验)
14:50~15:00 茶 歇
15:00~16:50 软件安全开发生命周期(SDL) 介绍安全开发生命周期整个过程
安全需求分析
安全设计
安全编程
安全测试
安全部署
16:50~17:00 茶 歇
17:00~17:30 讨论 和学员进行交流,对存在的问题进行讨论
17:30 培训结束 培训结束
>>>>第三天上午实验,下午认证考试
【培训教材 】
提供WEB安全认证专家课程PPT讲义装订版,以及官方OWASP英文相关材料。
【证书】
凡参加此课程培训的学员,经考察合格后都将获得由OWASP中国颁发《WEB安全认证专家》资质证书。
【讲师阵容】
范老师
信息安全资深专家,谷安IT风险管理学院特聘高级讲师,毕业于美国加州州立大学,计算机科学博士。曾任职于国际著名安全公司十余年,拥有资深的技术研发和项目管理经验。对在线安全,数据库安全和审计,Compliance(如SOX,PCI,ISO17799/27001)有深刻独特的研究。其在信息安全领域的技术创新的成功实践,使之成为第一个登上全球顶级安全大会——BLACKHAT(黑帽子)大会进行演讲的中国人,拥有CISSP、CISA、GCIH、GCIA等多项证书。现任OWASP中国分会副会长/2008北京奥组委安全组成员/浙江省信息安全协会安全服务委员会主任。
刘老师
资深安全顾问,谷安IT风险管理学院特聘高级讲师,ACCP软件工程师认证。OWASP中国分会会员,天阳网络技术论坛核心成员,AK TEAM核心。9年信息安全领域工作经验,主要从事信息安全实施规划、信息安全风险评估、信息安全服务、安全管理平台等方面工作,具备丰富的信息安全咨询与IT审计实践经验。曾服务的主要客户有公安部第三研究所、上海移动、江苏移动、海通证券、浙商银行、上海世博、广东电信研究院、浙江省烟草专卖局、浙江省农村信用合作社、浙江地区多家城市商业银行、国家电力科学研究院、浙江省科技厅等。
从业经历:
现任某信息技术有限公司安全服务部经理,为客户提供IT风险管理与控制、信息安全等咨询服务。曾在北大青鸟ACCP软件工程师认证培训讲师。
张老师
信息安全资深专家,谷安天下IT风险管理学院特聘讲师,ISO27001:2005主任审核员;获取浙江省等级保护测试师资质;目前为OWASP中国分会会员、幻影旅团(ph4nt0m)成员;超过6年的WEB安全评估和渗透测试以及培训经验。奥组委安全专家小组成员,先后给奥组委,中国移动,电信,金融和国企进行过各类深度安全培训并且取得良好的反馈。
从业经历:
现任某信息技术有限公司服务中心总监,项目经验包括北京奥运网安全检测;中国出口信用保险安全检测;北京市公安局及下属单位安全检测;中国石油管理公司整体安全服务;公安部60周年全国WEB应用安全大检查;浙江移动内部平台53个应用系统安全服务;浙江省政府安全检测;浙江省网通安全检测。
冯老师
信息安全资深专家,谷安天下IT风险管理学院特聘讲师,银联卡账户信息安全合规评估师,ISO 27001 主任审核员,CISP,思科-BSCI证书。7年信息安全领域从业经验,主要从事安全咨询,信息安全标准,信息安全管理,信息安全策略与制度建设,信息安全规划与体系建设,信息安全风险评估、信息安全加固、应急预案评估、安全审计、安全培训等安全服务。曾服务的主要客户有中国电信、华泰证券、浙江省银监局、中国银联支付、浙江省工商局、浙江省国税局、浙江省烟草专卖局、浙江地区多家城市商业银行等。
从业经历:
曾任绿盟科技信息技术有限公司高级安全顾问,为客户提供IT风险管理与控制、信息安全等咨询服务。
现任某信息技术有限公司高级安全顾问/资深行业咨询经理,主要负责为客户提供安全技术解决方案、安全管理咨询与服务。
【报名须知】
培训地点:北京市海淀区中关村南大街2号数码大厦A座1010室
培训费用:4000元/人(包含教材(含标准)、证书、午餐等)
考试费用: 1000元/人
考试日期:培训结束直接考试
结业证书:经谷安考核合格者将获得《WEB培训结业证书》。
帐户名称:北京谷安天下科技有限公司
开户银行:北京银行航天支行
帐 号:01090372800120109116339
联系方式:培训事业部 邹建立
北京谷安天下科技有限公司(GooAnn)
地址/Address:北京市海淀区中关村南大街2号数码大厦A座806
电话/Tel:(010) 51626887-812
手机/Mobile:15210841534 传真/Fax:(010) 51626887-816
电邮/Email:zoujianli@gooann.com QQ:690054854 530141084 |
|
免费注册
发表于 2011-07-27 10:44
