【笔记】网易微专业-Web安全工程师-05.WEB安全体系建设

课程概述

未知攻,焉知防?通过前面的课程我们掌握了各种攻击技巧,本课将教会大家如何在企业进行安全建设,达到知攻知防的境界,这也是各个公司最终需要的安全人才。

课程大纲

第一节.SDL介绍

第二节.漏洞和事件处理

第三节.安全运营概述

1. SDL介绍

安全开发生命周期(Security Development Lifecycle)

培训:核心安全培训

需求:安全需求分析/质量要求,Bug数量/安全和隐私风险评估

设计:设计需求分析/减小攻击面

实施:使用指定工具/启用不安全函数/静态解析

验证:动态分析/模糊测试/威胁模型和攻击面分析

发布:事件响应计划/最终安全评析/发布存档

响应:执行事情响应计划

更多内容详见:https://www.microsoft.com/en-us/sdl

2. 漏洞和安全处理

2.1 发现安全问题:

安全需求分析:项目初期接入,提前发现安全问题。如使用Web框架和语言的选型建议,敏感信息如密码的保存方案,是否有上传功能等等。

漏洞处理:通过扫描器发现安全问题,自动化,周期性执行。

事件处理:主要方式包括白盒测试和黑盒测试,通常以黑盒测试为主。

入侵检测:项目上线之后进行监控,包含多种检测方式,通过监控入侵行为发现安全问题。

日志分析:项目上线之后分析日志,通过分析日志发现安全问题。常见模式有可疑日志+人工分析,可疑日志+扫描器。

建立SRC:安全应急响应中心,通过安全爱好者发现安全问题。

与漏洞搜集平台合作:借助漏洞平台的力量和影响力,通过漏洞平台发现安全问题。

其它渠道:黑产卧底,与执法部门合作等等。

2.2 处理安全漏洞

防御:输入检查(在服务端检查;数据合法性校验:类型、范围。长度;尽量使用白名单),输出清理(报错信息等);针对性防御(cookie采用httponly);WAF(Web Application Firewall)。

修复:漏洞知识库(提供详细漏洞说明和修复方法,需要落地可执行),漏洞修复周期(需要有时间限制,根据漏洞危害等级限定漏洞修复周期),漏洞复查(需要安全团队复查,业务方和开发不可信)。

2.3 安全事件处理

分类:入侵/攻击/信息泄露

分级:低危/中危/高危

安全事件应急响应流程:事件确认,事件汇报,事件处理,归档和复盘。

3. 安全运营概述

发现和修复安全问题,防御体系建设和快速响应攻击,SDL落实推动

如何落地?

对内工作:安全扫描(周期性,定期检测保障安全),安全漏洞预警(关注重大漏洞和时间,提前部署防御方案,提前提供解决方案),应急响应,安全监控与入侵检测(通过监控发现安全问题,及时响应与处理)。

对外工作结合:建立外部沟通渠道和流程(提供统一对外沟通的邮件和IM工具,提供安全相关的沟通群,提供外部反馈问题的网站),安全圈关系(了解著名安全公司和安全圈子,积极参加安全会议,积极融入安全圈进行合作),品牌建设(参加合作会议,举办安全会议,打造安全产品,成立安全实验室)。

原文地址:https://www.cnblogs.com/kplayer/p/8467740.html

时间: 2024-11-07 06:30:14

【笔记】网易微专业-Web安全工程师-05.WEB安全体系建设的相关文章

网易微专业大数据工程师

本微专业由国际知名教育集团Wiley开发,面向全球化需求,并由Boolan博览网结合国内应用进行扩充.助你系统掌握大数据必备技能和核心技术,包括工具选择,存储.编程.处理和管理数据架构等.全网独家大数据双语课程.英文内容,中文字幕,原版内容,保证质量.Wiley权威教育资源,顶尖国外公司高管.国内一线工程师协同开发,Boolan博览网学习服务支持.强强联手,打造最有特色的大数据课程. 课程安排1.大数据基础必修 做为一名大数据工程师,不仅仅要了解核心技术,还需要了解技术架构是如何和商业环境.业务

网易 微专业

目前买了以下的网易微专业课程,需要的可留言. iOS开发工程师 测试工程师 新媒体视频导演 前端开发 web安全 交互设计师 产品经理 独立音乐制作人 产品运营 安卓 UI设计师 java开发工程师 python web IT项目管理 C++开发工程师

【笔记】网易微专业-Web安全工程师-02.WEB安全基础

课程概述: 万丈高楼平地起,楼能盖多高,主要看地基打的好不好.学习任何知识都是一样的,打好基础是关键,通过本课的学习,你将了解一些常见的Web漏洞,以及这些漏洞的原理和危害,打好地基,为后面建设高楼大厦做好准备. 课程大纲: 第一章.无处不在的安全问题 第一节.常见的安全事件 第二章.常见Web漏洞解析 第一节.XSS 第二节.CSRF 第三节.点击劫持 第四节.URL跳转 第五节.SQL注入 第六节.命令注入 第七节.文件操作漏洞 笔记心得: 1. 无处不在的安全问题 "钓鱼":利用

【笔记】网易微专业-Web安全工程师-04.WEB安全实战-2.暴力破解

KP君之前买了一个拉杆箱,在初始设置密码时不熟悉步骤,一时手抖,密码已经设好,但不知道设置了什么密码,欲哭无泪.想要找回密码,只能一个个试验,拉杠箱的密码锁有3位,对应000~999,那么最多需要1000次就能打开密码,这就是简单的"暴力破解". 暴力破解(Brute Force):核心就是"穷举法",猜出用户的密码.看起来似乎工程量很大,但是通常用户设置密码都不太复杂,因此利用常用的密码字典,就能破获大部分的密码.理论上来说,只要给定足够的时间,暴力破解就一定能破

【笔记】网易微专业-Web安全工程师-04.WEB安全实战-3.命令注入

命令注入(Command Injection):是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的. 前面的基础课程中,我们提到命令注入需要三个条件: 1. 是否调用系统命令? 2. 函数/参数是否可控? 3. 是否拼接输入? 具体怎么应用,我们在接下去的实战中学习和体会. DVWA实战: 1. 打开phpStudy或xampp,运行Apach和MySQL: 2. 浏览器进入DVWA主界面,在左侧栏选择DVWA Security安全等级为Low,然后进入Command Inj

【笔记】网易微专业-Web安全工程师-04.WEB安全实战-8.SQL盲注

上一节我们在实战中介绍了SQL注入的原理和危害,这一节我们要实战SQL盲注,与普通的SQL注入相比,数据库返回的结果不会显示在页面上,只会返回成功/失败或者真/假,这无形中加大了我们注入的难度. SQL盲注的一种思路:采用where语句"真and真=真","真and假=假",把我们需要确定的条件放在and之后,当我们的猜测为真那么返回为真,猜测错误则返回为假.具体怎么应用呢?我们在实战中学习. DVWA实战: 1. 打开phpStudy或xampp,运行Apach和

微专业Python爬虫工程师

百度云盘 什么是爬虫? 爬虫可以做什么? 爬虫的本质 爬虫的基本流程 什么是request&response 爬取到数据该怎么办 什么是爬虫? 网络爬虫(又被称为网页蜘蛛,网络机器人,在FOAF社区中间,更经常的称为网页追逐者),是一种按照一定的规则,自动地抓取万维网信息的程序或者脚本.另外一些不常使用的名字还有蚂蚁.自动索引.模拟程序或者蠕虫. 其实通俗的讲就是通过程序去获取web页面上自己想要的数据,也就是自动抓取数据 爬虫可以做什么? 你可以爬取小姐姐的图片,爬取自己有兴趣的岛国视频,或者

web前端工程师入门须知

先说下web前端工程师的价值,目前web产品交互越来越复杂,用户使用体验和网站前端性能优化这些都得靠web前端工程师去做web前端工程师是 设计加开发的综合体,web前端工程师是在开发人员中最直接面向产品,面向用户的设计人员,一个开发团队的成果是要靠web前端工程师去展现,因为用户不 会去关心后台的处理有多么强大 :在设计人员中web前端工程师是直接面向开发人员的设计人员,向开发人员以一种计算机语言的方式传递其设计理念,web前端工程师在整个团队中是很关键 的. 在我眼中一名合格的web前端工程

什么是web前端工程师?要掌握哪些技术?

随着互联网的迅猛发展和普及,一个新型的行业和新兴的职位正在上升到技术的层面:web前端开发工程师.对于很多零基础的web前端初学者而言,什么是web前端工程师?Web前端工程师是做什么的?学习web前端能做什么?刚接触web前端都会被各种问题困扰.下面,千锋小编为大家一一解惑. 1.什么是web前端工程师? Web前端开发工程师,其工作岗位主要职责是利用(X)HTML/CSS/JavaScript/DOM/Flash等各种Web技术进行产品的界面开发(不过现在flash已经基本淡出网页元素了,而