参加培训

OWASP中国2013年安全论坛（北京站）培训

内容： 安全测试及S-SDLC&业务安全培训(针对高级会员）
费用： 免费（限定人数40人）
地点：北京市朝阳区北四环中路8号五洲皇冠国际酒店会议室8
主讲人：袁明坤、包悦忠
报名方式： 提供“姓名+会员编号”邮件注明申请参加渗透测试培训到member#owasp.org.cn报名！

1.安全测试技术培训大纲

培训时间：9月25日9:00-12：00

培训对象：资深安全管理人员、Web安全测试人员、企业安全架构人员、企业安全测试人员

培训目的：了解业界安全动态，风险评估，企业安全测试框架流程，以及学习如何验证安全测试成果。并可以解决通常安全测试中一些缺失和不足的部分,具体内容包括:

解决甲方与乙方的沟通的问题
可视化输出测试覆盖面,清晰了解测试覆盖点,未覆盖点
标准化安全测试流程,易于推广和传承
安全测试过程质量保证,颗粒化测试各个环节
可以根据测试结论,针对性的内部人员技能提升计划
量化企业风险和潜在威胁
可以实现安全测试体系与安全管理体系模块化对接
衡量各部门,各方安全技术能力和水平

基础知识：系统安全技术、系统检查与加固、应急响应和入侵调查、风险评估、ISMS

培训课程类别：安全测试技术

课程内容 ：

常规的安全测试方法包括: 脆弱性扫描、渗透测试、安全审计、安全扫描、白盒测试,、趋势评估(发现已知的漏洞和薄弱环节，提供渐进式改进，以加强网络和系统的安全性的意图)以及风险评估.

其中渗透测试最为业内人士所熟识，因为每个人都听说过，而且“知道”渗透测试是安全专家用于确保系统安全的高端的测试手段。由于各类测试所耗费的成本、时间、面对对象的不同, 收获的测试效果也大相径庭。

汇总整理得出的结论，一个全面有效的安全测试应该具备以下特征：

1.具备全面完整的操作流程和最佳实践指导，能够应对合规性检查

2.具备科学的理论依据，能够支撑定量或者定性的检测结论

培训图片2

最终，科学有效的安全测试，可以形成量化的测试结论，并将其融入到整体信息安全管理体系中，持续推动企业以正确的目标进行信息安全建设,使信息安全管理体系与技术手段相融合 ,实现真正意义上的信息安全

关键内容： 企业信息安全综述、OWASP安全测试流程、OSSTMM开源安全测试框架、ISSAF信息系统安全测试框架、企业安全测试流程、安全测试审计报告

2、S-SDLC&业务安全培训

培训时间：9月25日14:00-17:30

培训简介：软件安全保障目标的实现取决于能否将软件安全工作体系化并逐步提高企业自身的相关能力。议题分为两个部分：第一部分介绍软件安全保障的流程与应用；第二部分重点讨论软件设计安全问题，通过具体实例剖析如何利用数据流分析的方法识别业务安全风险并执行有针对性的安全测试。

OWASP中国2013年安全论坛（上海站）培训

时间： 2013年7月13日14:00-18:00
内容： 渗透测试培训（针对高级会员）
培训地点：上海市番禺路858号宜必思商务酒店小会议室(宜必思商务酒店离交大番禺路校门步行约2分钟，由于番禺路边绿化很好，酒店招牌已基本被绿树遮盖，请寻找时按门牌号查找)
主讲人： 袁明坤
报名方式： 提供“姓名+会员编号”邮件注明申请参加渗透测试培训到member#owasp.org.cn报名！

1、渗透测试技术培训大纲

培训对象：资深安全管理人员、Web安全测试人员、企业安全架构人员

培训目的：了解渗透测试目的以及原理，重点掌握各类渗透测试工具。以OWASP归纳的Web安全的TOP10为主线，渗透测试框架 PTES及Webgoat5.4为基础，学习多平台下的渗透测试技术，透析攻击手法，提高安全防护能力.

培训图片1

基础知识：需要了解以下内容：

系统安全技术、web开发基础、系统检查与加固、应急响应和入侵调查、攻击目标信息采集与识别

培训课程类别：渗透测试技术

关键内容包括：

1. 信息泄漏的潜在威胁

2. SQL注入漏洞攻击原理、测试及防护

3. 跨站脚本攻击XSS原理、测试及防护

4. 身份认证漏洞攻击原理、测试及防护

5. 跨站请求伪造攻击CSRF原理、测试及防护

6. 文件包含漏洞、测试及防护

7. 代码执行漏洞、测试及防护

8. 数据存储与通讯安全

9. Web安全事件应急响应与调查取证

10. Web安全攻防综合介绍

2、企业安全测试技术培训大纲