第一天

安全編碼概論

SEI CERT安全編碼原則

1.安全編碼十大基本原則：

1)驗(yàn)證輸入 2)注意編譯器警告 3)符合安全策略的安全架構(gòu)和設(shè)計(jì) 4)保持代碼簡單

5)默認(rèn)拒絕 6)堅(jiān)持最小權(quán)限原則 7)清理發(fā)送到其它系統(tǒng)的數(shù)據(jù) 8)深度防御

9)采用有效的檢測(cè)技術(shù) 10)采用安全編碼標(biāo)準(zhǔn)

2.推薦安全編碼實(shí)踐：

1)定義安全需求 2)進(jìn)行威脅建模 3)盡早進(jìn)行安全測(cè)試 4)盡可能多的進(jìn)行安全測(cè)試

SEI CERT Java安全編碼規(guī)范

3.通用安全編碼原則

4.Java安全編碼規(guī)范：

1)輸入驗(yàn)證和數(shù)據(jù)凈化（IDS） 2)聲明和初始化（DCL） 3)表達(dá)式（EXP）

4)類型與運(yùn)算（NUM） 5)面向?qū)ο螅∣BJ） 6)方法（MET） 7)異常行為（ERR）

8)可見性和原子性（VNA） 9)鎖（LCK） 10)線程API（THI） 11)線程池（TPS）

12)與線程安全相關(guān)的其他規(guī)則（TSM） 13)輸入輸出（FIO） 14)序列化（SER）

15)平臺(tái)安全性（SEC） 16)運(yùn)行環(huán)境（ENV） 17)Java本地接口（JNI）

18)其他（MSC） 19)安卓（DRD）

WEB工程代碼審計(jì)

1)SQL注入 2)命令注入 3)XML注入 4)XSS跨站腳本 5)XML外部實(shí)體(XXE)

6)不安全的反序列化 7)不正確的直接對(duì)象引用 8)錯(cuò)誤的認(rèn)證和會(huì)話管理

9)跨站請(qǐng)求偽造CSRF及SSRF 10)敏感數(shù)據(jù)泄露 11)缺少功能層面的訪問控制

12)安全配置錯(cuò)誤 13)不足的日志記錄和監(jiān)控 14)線程安全問題

15)文件上傳和下載 16)不安全的加密存儲(chǔ)和傳輸

Java代碼審計(jì)實(shí)例

1)參數(shù)化查詢的方法正確和錯(cuò)誤的使用 2)輸入和輸出驗(yàn)證錯(cuò)誤

3)敏感數(shù)據(jù)（手機(jī)驗(yàn)證碼）泄露 4)密碼找回漏洞 5)任意用戶注冊(cè)

6)錯(cuò)誤的邏輯判斷條件 7)萬能驗(yàn)證碼 8)用戶權(quán)限控制錯(cuò)誤

9)直接構(gòu)造數(shù)據(jù)包訪問頁面功能 10)敏感信息（SMSSDK TOKEN）泄露 11)TOP10漏洞

第二天

軟件開發(fā)安全生命周期

1)了解安全需求的來源 2)了解安全需求分析的方法 3)了解威脅建模的方法

4)了解軟件成熟度的模型 5)了解軟件開發(fā)生命周期的概念 6)了解安全架構(gòu)設(shè)計(jì)

7)了解代碼安全測(cè)試 8)了解模糊測(cè)試和滲透測(cè)試 9)了解ASVS

10)了解安全編碼規(guī)范 11)了解開發(fā)安全管理

安全軟件開發(fā)生命周期管控介紹

應(yīng)用系統(tǒng)安全需求分析與設(shè)計(jì)

1)介紹應(yīng)用系統(tǒng)安全需求分析方法 2)介紹應(yīng)用系統(tǒng)安全設(shè)計(jì)方法

3)介紹應(yīng)用系統(tǒng)安全需求與設(shè)計(jì)管控措施

應(yīng)用系統(tǒng)安全開發(fā)與測(cè)試

1)介紹應(yīng)用系統(tǒng)安全開發(fā)最佳實(shí)踐 2)介紹應(yīng)用系統(tǒng)安全測(cè)試方法

3)介紹應(yīng)用系統(tǒng)安全開發(fā)與測(cè)試框架 4)介紹應(yīng)用系統(tǒng)安全開發(fā)與測(cè)試管控措施

應(yīng)用系統(tǒng)安全上線與運(yùn)維

1)介紹應(yīng)用系統(tǒng)安全上線環(huán)境要求 2)介紹應(yīng)用系統(tǒng)安全運(yùn)維要求

3)介紹應(yīng)用系統(tǒng)SOC平臺(tái)應(yīng)用技術(shù) 4)介紹集中認(rèn)證，賬戶管理，審計(jì)平臺(tái)技術(shù)

5)代碼安全與開發(fā)安全管理

安全開發(fā)基礎(chǔ)概念和安全開發(fā)整體實(shí)施概念

應(yīng)用程序安全驗(yàn)證標(biāo)準(zhǔn)

1)安全架構(gòu)、設(shè)計(jì)與威脅建模（Architecture,design and threat modelling）

2)身份鑒別（Authentication） 3)會(huì)話管理（Session Management）

4)訪問控制（Access Control） 5)惡意輸入處理（Malicious input handling）

6)加密支撐組件（Cryptography at rest）

7)錯(cuò)誤管理及記錄（Error Handling and Logging）

8)數(shù)據(jù)保護(hù)（Data Protection） 9)通訊相關(guān)（Communications）

10)HTTP安全配置(HTTP Security configuration)

11)惡意代碼控制（Malicious Controls） 12)業(yè)務(wù)邏輯（Business logic）

13)文件和資源調(diào)用安全（File and resources）

14)移動(dòng)安全（Mobile Security） 15)Web服務(wù)（Web services NEW for 3.0）

16)安全配置(security Configuration NEW for 3.0)

APP移動(dòng)應(yīng)用安全開發(fā)指南

1)移動(dòng)應(yīng)用安全測(cè)試指南MSTG 2)架構(gòu)，設(shè)計(jì)和威脅建模要求 3)數(shù)據(jù)存儲(chǔ)和隱私要求

4)加密要求 5)身份驗(yàn)證和會(huì)話管理 6)網(wǎng)絡(luò)通信要求 7)平臺(tái)交互要求

8)代碼質(zhì)量和編譯要求 9)韌性要求