识别安全漏洞

Q: 我什么时候能看到讲座和作业？

要获取课程资料、作业和证书，您需要在注册课程时购买证书体验。 您可以尝试免费试听，或申请资助。课程可能提供 "完整课程，无证书"。通过该选项，您可以查看所有课程资料，提交必要的评估，并获得最终成绩。这也意味着您无法购买证书体验。

本课程是安全编码实践专项课程的一部分

位教师：Sandra Escandor-O'Keefe

14,921 人已注册

包含在 Coursera Plus 中

了解更多

4个模块

深入了解一个主题并学习基础知识。

4.7

（176 条评论）

中级等级

推荐体验

1 周完成

在 10 小时一周

灵活的计划

自行安排学习进度

4个模块

深入了解一个主题并学习基础知识。

4.7

（176 条评论）

中级等级

推荐体验

1 周完成

在 10 小时一周

灵活的计划

自行安排学习进度

您将获得的技能

要了解的详细信息

可分享的证书

添加到您的领英档案

作业

4 任务¹

AI 评分请参见免责声明

授课语言：英语（English）

了解顶级公司的员工如何掌握热门技能

了解关于 Coursera for Business 的更多信息

Petrobras, TATA, Danone, Capgemini, P&G 和 L'Oreal 的徽标

积累特定领域的专业知识

本课程是安全编码实践专项课程专项课程的一部分

在注册此课程时，您还会同时注册此专项课程。

向行业专家学习新概念
获得对主题或工具的基础理解
通过实践项目培养工作相关技能
获得可共享的职业证书

该课程共有4个模块

本课程将帮助您建立安全编程中一些基本概念的基础。我们将学习威胁建模和密码学的概念，您将能够开始创建威胁模型，并对其他人创建的威胁模型进行批判性思考。我们将学习加密和安全散列等密码学应用的基础知识。我们将学习攻击者如何通过不当处理用户控制数据来利用应用程序漏洞。我们将从根本上了解网络应用程序中的注入问题，包括三种最常见的注入问题：SQL 注入、跨站脚本和命令注入。

我们还将学习应用程序身份验证和会话管理，其中身份验证是安全网络应用程序的主要组成部分，而会话管理则是同一枚硬币的另一面，因为用户请求的身份验证状态需要妥善处理并作为一个会话运行。我们将了解敏感数据暴露问题，以及如何帮助保护客户数据。我们将介绍如何有效地存储密码相关信息，而不是存储实际的明文密码。我们还将参与编码任务，帮助您更好地理解有效存储密码相关信息的机制。在学习过程中，我们将讨论如何注意和缓解这些问题，并在一个名为 WebGoat 的网络应用程序中利用两个不同的漏洞，体验其中的乐趣。

在本模块中，您将接触到威胁建模和应用密码学的思想。本模块结束时，您将能够开始创建威胁模型，并对其他人创建的威胁模型进行批判性思考。您将能够在威胁模型中应用 STRIDE 方法，并区分特定系统中的信任边界。您还将获得对加密和安全散列等应用密码学的基本了解。

涵盖的内容

14个视频3篇阅读材料1个作业1次同伴评审2个讨论话题

14个视频总计82分钟

课程介绍3分钟
单元 1 导言1分钟
安全基本概念8分钟
通过实例介绍 STRIDE 方法9分钟
通过示例更详细地说明 STRIDE 威胁4分钟
信任边界2分钟
密码学基础知识简介3分钟
密码学基础知识：块密码9分钟
密码学基础知识：对称和非对称密码学5分钟
密码学基础：哈希函数9分钟
密码学基础知识：威胁模型应用4分钟
实验室：威胁模型活动3分钟
OWASP 十大主动控制和漏洞利用 - 第 1 部分6分钟
OWASP 十大主动控制和漏洞利用 - 第 2 部分9分钟

3篇阅读材料总计40分钟

加州大学戴维斯分校的说明10分钟
欢迎来到同行评审作业！10分钟
阅读和资源20分钟

1个作业总计30分钟

第 1 单元测验30分钟

1次同伴评审总计60分钟

创建威胁模型60分钟

2个讨论话题总计30分钟

学习目标10分钟
实验室 #1：设置系统 - WebGoat 和 Burp20分钟

通过本模块的学习，您将对网络应用程序中的注入问题有一个基本的了解。您将能够讨论和描述三种最常见的注入问题：SQL 注入、跨站脚本和命令注入。为了使这些概念深入人心，您将能够利用 WebGoat 应用程序中的 SQL 注入漏洞。您将能够制定计划来减轻应用程序中的注入问题。

涵盖的内容

17个视频1篇阅读材料1个作业1个讨论话题

17个视频总计86分钟

单元 2 导言1分钟
一般概念：注塑问题4分钟
SQL 注入问题8分钟
使用预处理语句缓解 SQL 注入3分钟
使用存储过程缓解 SQL 注入3分钟
使用白名单缓解 SQL 注入2分钟
现实生活中的喷射问题5分钟
实验室解决方案截屏：使用 WebGoat 的 SQLi 示例进行漏洞利用7分钟
跨站脚本简介3分钟
HTTP 和文档隔离8分钟
DOM、动态生成页面和跨站脚本7分钟
3 种跨站脚本漏洞6分钟
跨站脚本漏洞的比较与对比3分钟
OWASP 规定的跨站脚本防护规则 - 第 1 部分6分钟
OWASP 规定的跨站脚本防护规则 - 第 2 部分6分钟
命令注入问题3分钟
与注入相关的 OWASP 主动控制措施4分钟

1篇阅读材料总计20分钟

资源20分钟

1个作业总计30分钟

第二单元测验30分钟

1个讨论话题总计60分钟

实验室 #2：如何利用 WebGoat 的 SQL 注入示例60分钟

本模块结束时，您将能够评估一个系统，以确定它是否遵循了网络应用程序中身份验证和会话管理的通用安全方法。您将能够区分身份验证、会话管理和访问控制之间的关系。您还将能够利用 WebGoat 的身份验证和会话管理漏洞。您还将能够评估一个系统，以确定它是否执行了足够的安全日志，从而执行了不可否认性。这将有助于推动本模块的概念学习。

涵盖的内容

11个视频1篇阅读材料1个作业1个讨论话题

11个视频总计71分钟

单元 3 导言1分钟
HTTP 协议概述7分钟
身份验证简介10分钟
处理身份验证过程中的错误信息4分钟
会话管理简介7分钟
利用会话管理执行访问控制7分钟
会话管理威胁：Bruteforce 会话 ID10分钟
会话管理剧院会话修复漏洞3分钟
记录和监控3分钟
实验室 3 的解决方案：WebGoat 的会话管理漏洞9分钟
与会话管理和身份验证相关的 OWASP 主动控制措施6分钟

1篇阅读材料总计20分钟

资源20分钟

1个作业总计30分钟

第 3 单元测验30分钟

1个讨论话题总计90分钟

实验室 #3：WebGoat 的会话管理漏洞90分钟

在本模块结束时，你将了解如何有效地存储密码相关信息，而不是存储实际的明文密码。你还将完成一项编码作业，帮助你更好地理解有效存储密码相关信息的机制。准备好了吗？

涵盖的内容

9个视频1篇阅读材料1个作业1次同伴评审1个讨论话题

9个视频总计36分钟

单元 4 导言2分钟
敏感数据暴露问题简介5分钟
问题 1：使用 PII 创建会话 ID3分钟
问题 2：不对敏感信息加密2分钟
问题 3：密码存储不当5分钟
减缓密码暴力攻击7分钟
问题 4：将 HTTP 用于敏感的客户端-服务器4分钟
与敏感数据暴露相关的 OWASP 主动控制措施3分钟
课程摘要1分钟

1篇阅读材料总计20分钟

资源20分钟

1个作业总计30分钟

第 4 单元测验30分钟

1次同伴评审总计60分钟

存储密码实验活动60分钟

1个讨论话题总计10分钟

自我反思10分钟

获得职业证书

将此证书添加到您的 LinkedIn 个人资料、简历或履历中。在社交媒体和绩效考核中分享。

位教师

授课教师评分

4.7 (42个评价)

Sandra Escandor-O'Keefe

University of California, Davis

1 门课程14,921 名学生

提供方

University of California, Davis

从计算机安全与网络浏览更多内容

Packt
Hands-On Web App Pentesting
课程
状态：免费试用
University of California, Davis
Identifying Security Vulnerabilities in C/C++Programming
课程
状态：免费试用
Microsoft
Web Application Security
课程
状态：免费试用
Codio
Software Security for Web Applications
课程

人们为什么选择 Coursera 来帮助自己实现职业发展

Felipe M.

自 2018开始学习的学生

''能够按照自己的速度和节奏学习课程是一次很棒的经历。只要符合自己的时间表和心情，我就可以学习。'

Jennifer J.

自 2020开始学习的学生

''我直接将从课程中学到的概念和技能应用到一个令人兴奋的新工作项目中。'

Larry W.

自 2021开始学习的学生

''如果我的大学不提供我需要的主题课程，Coursera 便是最好的去处之一。'

Chaitanya A.

''学习不仅仅是在工作中做的更好：它远不止于此。Coursera 让我无限制地学习。'

学生评论

4.7

176 条评论

5 stars
74.57%
4 stars
19.20%
3 stars
5.08%
2 stars
0%
1 star
1.12%

显示 3/176 个

已于 Nov 18, 2020审阅

Very informative & exhaustive coverage. Kudos to the tutor and thank you !!

已于 Oct 28, 2024审阅

Great course. However, countless other learners have submitted plagiarised, false, and malicious submission.

已于 Oct 26, 2020审阅

Excellent course with a broad coverage of all the aspects involved in Application Security, clearly explained and the peer graded labs were fun to do!

查看更多评论