培训对象: 面向软件开发工程师、网络安全工程师、渗透测试人员及第三方测试机构技术人员。也适合需要从源头上减少系统安全隐患、建立安全开发流程的研发团队。
培训目标: 系统掌握代码审计的核心理论与实战方法,具备识别SQL注入、XSS、反序列化漏洞等常见安全缺陷的能力。能够运用自动化工具与人工审查相结合的方式,在CI/CD流水线中集成安全审计,提升软件整体安全质量。
培训内容介绍:
代码审计核心理论与方法论:学习代码审计的基本思想、对象、目的、原则及要素,掌握基于数据流的威胁建模(STRIDE/DREAD)方法。
源代码深度阅读与理解技巧:掌握快速理解大型项目架构的技巧(从入口点、配置文件、依赖注入入手),学习关键代码路径追踪、数据流分析与控制流分析方法。
安全开发生命周期(SDL):了解安全开发生命周期定义与目标,将安全开发理论结合到需求分析、设计、开发编码、测试、发布、运维等各阶段。
CI/CD与代码审计集成:搭建Jenkins流水线实现提交代码时自动进行SCA扫描和SAST扫描,将安全测试工具与DevOps工具链结合,减少人工干预成本。
代码审计方法与工具:掌握人工审查结合工具扫描的审计方式,了解常用SAST工具、开源漏洞测试工具的使用,探索基于大模型的代码审计前沿方向。
SQL注入漏洞审计:学习执行SQL语句的几种方式,掌握常规注入与二次注入的代码审计方法,学习SQL注入漏洞的修复策略。
XSS与文件上传漏洞审计:掌握反射型XSS、存储型XSS的审计技巧,学习任意文件上传漏洞的成因、审计方法与修复方案。
命令执行与反序列化漏洞:深入分析ProcessBuilder命令执行、Runtime exec命令执行漏洞,学习Java反序列化漏洞的审计与修复。
Java框架漏洞审计:学习Spring框架(CVE-2018-1273)、Struts2框架(S2-045/S2-057)等典型框架漏洞的审计方法与修复验证。
代码逆向分析与安全保护:学习编译、反编译、反汇编的概念,掌握动态调试技术、静态反编译与代码还原方法。
代码防篡改与加固技术:掌握代码加固技术(字符串加密、控制流混淆)、软件许可证保护及安全防护方案设计。
第三方测试中的代码审计:学习第三方代码审计的实施过程、团队流程管理、能力建设与风险控制
