Application Security 面向開發者培訓
應用程序安全是現代軟件開發的一個關鍵方面,確保應用程序具有抵禦安全威脅和漏洞的能力。
這門由講師主導的現場培訓(在線或現場)旨在讓中級到高級開發人員了解和應用安全編碼實踐,識別軟件中的安全風險,並實施對抗網絡威脅的防禦措施。
完成本次培訓後,參與者將能夠:
- 了解Web和軟件應用程序中的常見安全漏洞。
- 分析攻擊者使用的安全威脅和利用技術。
- 實施安全編碼實踐以減輕安全風險。
- 使用安全測試工具來識別和修復漏洞。
課程格式
- 互動講座和討論。
- 大量的練習和實踐。
- 在實驗室環境中進行實際操作。
課程定制選項
- 要請求定制此課程的培訓,請聯繫我們安排。
課程簡介
介绍Application Security
- 现代软件开发中应用安全的重要性
- 常见网络威胁和攻击向量的概述
- 了解Web和移动应用程序中的安全风险
安全软件开发生命周期(SDLC)
- 将安全性集成到开发的每个阶段
- 威胁建模和风险评估
- 在CI/CD管道中进行自动化安全测试
了解常见安全漏洞
- OWASP前10名安全风险介绍
- 导致漏洞的常见编码缺陷
- 利用不安全的应用程序(针对DVWA/WebGoat的动手练习)
输入验证和Secure Coding实践
- 防止SQL注入、跨站脚本(XSS)和命令注入
- 输入清理和验证的最佳实践
- 实现安全的身份验证和授权机制
会话Management和Data Protection
- 处理会话安全性:cookies、tokens和JWT最佳实践
- 数据加密技术和安全存储
- 安全API开发和防止API滥用
安全测试和漏洞评估
- 使用OWASP ZAP和Burp Suite进行安全测试
- 静态和动态应用程序安全测试(SAST/DAST)
- 针对开发人员的渗透测试基础知识
实施安全DevOps(DevSecOps)
- DevOps工作流程中的安全自动化
- 容器安全和保护云应用程序
- 事件响应和安全监控
总结和结论
- 课程的关键要点
- 进一步学习的资源
- 问答和结束语
最低要求
- 任何程序语言的基础知识
- 开发应用程序的经验
受众
- 软件开发人员
- 应用安全工程师
- DevOps 和安全团队
公開培訓課程需要5名以上參與者。
Application Security 面向開發者培訓 - 訂單
Application Security 面向開發者培訓 - 詢問
Application Security 面向開發者 - 咨詢詢問
客戶評論 (1)
大量信息解釋得非常清楚。 很好的例子,有趣的練習。 培訓師向我們展示了他的實際經驗。
Gergely Batho - GE Medical Systems Polska Sp. Z O.O.
課程 - Application Security for Developers
機器翻譯
即將到來的課程
相關課程
Network Security and Secure Communication
21 小時實現安全的網路應用程式可能很困難,即使對於可能事先使用過各種加密構建塊(例如加密和數位簽名)的開發人員也是如此。為了讓參與者了解這些加密原語的作用和用法,首先給出了安全通信的主要要求(安全確認、完整性、機密性、遠端識別和匿名)的堅實基礎,同時還介紹了可能破壞這些要求的典型問題以及實際解決方案。
由於網路安全的一個關鍵方面是密碼學,因此還討論了對稱密碼學、哈希、非對稱密碼學和密鑰協定中最重要的加密演算法。這些元素不是提供深入的數學背景,而是從開發人員的角度進行討論,展示了與加密使用相關的典型用例示例和實際考慮,例如公鑰基礎設施。介紹了安全通信的許多領域的安全協定,並深入討論了最廣泛使用的協定系列,例如 IPSEC 和 SSL/TLS。
討論了與某些加密演算法和加密協定相關的典型加密漏洞,例如 BEAST、CRIME、TIME、BREACH、FREAK、Logjam、Padding oracle、Lucky Thirteen、POODLE 等,以及 RSA 計時攻擊。在每種情況下,都會針對每個問題描述實際考慮和潛在後果,同樣,無需深入數學細節。
最後,由於 XML 技術是網路應用程式數據交換的核心,因此描述了 XML 的安全方面。這包括在 Web 服務和 SOAP 消息中使用 XML 以及 XML 簽名和 XML 加密等保護措施,以及這些保護措施中的弱點和 XML 特定的安全問題,例如 XML 注入、XML 外部實體 (XXE) 攻擊、XML 炸彈和 XPath 注入。
參加本課程的學員將
- 瞭解安全、IT 安全和安全編碼的基本概念
- 瞭解安全通信的要求
- 瞭解不同 OSI 層的網路攻擊和防禦
- 對密碼學有實際的瞭解
- 瞭解基本安全協定
- 瞭解最近針對加密系統的一些攻擊
- 獲取有關一些最近的相關漏洞的資訊
- 瞭解 Web 服務的安全概念
- 獲取有關安全編碼實踐的原始程式碼和進一步閱讀材料
觀眾
開發人員、專業人士
Application Security in the Cloud
21 小時雲計算的採用改變了應用程序的構建、部署和運營方式,將責任在供應商和客戶之間重新分配,同時引入了雲原生平臺(如容器、無服務器、託管服務),這些平臺需要適配的安全控制措施。因此,安全必須涵蓋基礎設施加固、身份和訪問管理、數據保護、安全開發實踐以及雲特定的威脅向量。
本課程由講師主導,提供線上或線下培訓,面向中級開發者、安全工程師和IT經理,旨在幫助他們掌握保護雲應用程序及其支持基礎設施的實用技能,同時學習可重複的控制和評估技術,這些技術與當前行業框架和雲提供商的指導相符。
培訓結束後,學員將能夠:
- 解釋雲計算的共享責任模型,並將其應用於應用安全決策。
- 加固雲基礎設施(IaaS),保護平臺服務(PaaS),並評估SaaS配置。
- 將安全編碼和基於OWASP的緩解模式應用於託管在雲上的應用程序。
- 將安全工具集成到CI/CD管道中(SAST/DAST/IAST/RASP),並採用“左移”實踐。
課程形式
- 互動講座和討論,結合現場演示。
- 使用雲控制檯、容器、無服務器函數和CI/CD管道的動手實驗。
- 實踐練習:安全配置、漏洞掃描、攻擊模擬和修復規劃。
課程定製選項
- 如需定製本課程,請聯繫我們進行安排。
C/C++ Secure Coding
21 小時本課程爲期三天,涵蓋C/C++代碼安全的基礎知識,旨在防止惡意用戶利用代碼中的內存管理和輸入處理漏洞。課程將介紹編寫安全代碼的基本原則。
Advanced Java Security
21 小時即使是有經驗的Java程序員,也未必完全掌握Java提供的各種安全服務,同樣可能不瞭解與Java編寫的Web應用程序相關的各種漏洞。
本課程除了介紹標準Java版的安全組件外,還涉及Java企業版(JEE)和Web服務的安全問題。在討論具體服務之前,課程會先講解密碼學和安全通信的基礎知識。通過各種練習,參與者可以實踐JEE中的聲明式和編程式安全技術,同時討論Web服務的傳輸層和端到端安全性。所有組件的使用將通過多個實際練習進行演示,參與者可以親自嘗試所討論的API和工具。
課程還詳細講解並解釋了Java語言和平臺中最常見和最嚴重的編程缺陷,以及Web相關的漏洞。除了Java程序員常犯的典型錯誤外,課程還涵蓋了特定於語言的問題和運行時環境引發的問題。所有漏洞和相關攻擊都通過易於理解的練習進行演示,隨後提供推薦的編碼指南和可能的緩解技術。
參加本課程的學員將
- 瞭解安全、IT安全和安全編碼的基本概念
- 學習超越OWASP十大漏洞的Web漏洞,並瞭解如何避免它們
- 理解Web服務的安全概念
- 學習使用Java開發環境的各種安全功能
- 對密碼學有實際的理解
- 理解Java EE的安全解決方案
- 瞭解典型的編碼錯誤及其避免方法
- 獲取有關Java框架中最新漏洞的信息
- 獲得使用安全測試工具的實踐經驗
- 獲取有關安全編碼實踐的參考資料和進一步閱讀材料
受衆
開發人員
Combined JAVA, PHP and Web Application Security
28 小時即使是經驗豐富的程式師也無法完全掌握其開發平臺提供的各種安全服務,同樣也不知道與他們開發相關的不同漏洞。本課程面向同時使用 Java 和 PHP 的開發人員,為他們提供必要的基本技能,使他們的應用程式能夠抵禦通過 Internet 的現代攻擊。
通過處理訪問控制、身份驗證和授權、安全通信和各種加密功能,逐步完成 Java 安全架構的級別。還介紹了各種可用於保護 PHP 中代碼的 API,例如用於加密的 OpenSSL 或用於輸入驗證的 HTML Purifier。在伺服器端,給出了強化和配置操作系統、Web 容器、文件系統、SQL 伺服器和 PHP 本身的最佳實踐,同時通過 JavaScript、Ajax 和 HTML5 的安全問題特別關注用戶端安全性。
一般的 Web 漏洞通過與 OWASP Top 10 相關的示例進行討論,展示了各種注入攻擊、腳本注入、針對會話處理的攻擊、不安全的直接物件引用、檔上傳問題等等。介紹了各種特定於 Java 和 PHP 的語言問題以及由運行時環境引起的問題,這些漏洞被歸類為標準漏洞類型,包括缺少或不正確的輸入驗證、不正確的安全功能使用、不正確的錯誤和異常處理、與時間和狀態相關的問題、代碼質量問題和與移動代碼相關的漏洞。
參與者可以親自嘗試所討論的 API、工具和配置效果,而漏洞的引入都由許多動手練習提供支援,這些練習演示了成功攻擊的後果,展示了如何糾正錯誤和應用緩解技術,並介紹了各種擴展和工具的使用。
參加本課程的學員將
- 瞭解安全、IT 安全和安全編碼的基本概念
- 瞭解 OWASP Top 10 之後的 Web 漏洞,並知道如何避免它們
- 瞭解用戶端漏洞和安全編碼實踐
- 學習使用 Java 開發環境的各種安全功能
- 對密碼學有實際的瞭解
- 學習使用 PHP 的各種安全功能
- 瞭解 Web 服務的安全概念
- 獲取有關使用安全測試工具的實用知識
- 瞭解典型的編碼錯誤以及如何避免這些錯誤
- 瞭解 Java 和 PHP 框架和庫中的最新漏洞
- 獲取有關安全編碼實踐的原始程式碼和進一步閱讀材料
觀眾
開發人員
Standard Java Security
14 小時描述
Java語言及其運行時環境(JRE)旨在避免其他語言(如C/C++)中常見的安全漏洞。然而,軟件開發人員和架構師不僅需要了解如何使用Java環境的各種安全功能(正向安全),還應瞭解與Java開發相關的衆多漏洞(負向安全)。
在介紹安全服務之前,課程將簡要概述密碼學的基礎知識,爲理解相關組件的用途和操作提供共同的基礎。這些組件的使用將通過多個實踐練習展示,參與者可以親自嘗試所討論的API。
課程還將講解Java語言和平臺中最常見且嚴重的編程缺陷,涵蓋Java程序員的典型錯誤以及語言和環境特有的問題。所有漏洞和相關攻擊都通過易於理解的練習進行演示,隨後提供推薦的編碼指南和可能的緩解技術。
參加本課程的學員將
- 瞭解安全、IT安全和安全編碼的基本概念
- 學習OWASP十大漏洞之外的其他Web漏洞,並瞭解如何避免它們
- 學習使用Java開發環境的各種安全功能
- 對密碼學有實際的理解
- 瞭解典型的編碼錯誤及如何避免它們
- 獲取有關Java框架中近期漏洞的信息
- 獲得安全編碼實踐的參考資料和進一步閱讀材料
受衆
開發人員
Advanced Java, JEE and Web Application Security
28 小時參加本課程的香港學員將
- 了解安全、IT安全和安全編碼的基本概念
- 學習OWASP十大漏洞之外的Web漏洞,並了解如何避免它們
- 學習客戶端漏洞和安全編碼實踐
- 學習使用Java開發環境的各種安全功能
- 對加密學有實際理解
- 了解Web服務的安全概念
- 了解Java EE的安全解決方案
- 學習典型的編碼錯誤及如何避免它們
- 獲取有關Java框架中一些近期漏洞的信息
- 獲得使用安全測試工具的實際知識
- 獲取有關安全編碼實踐的資源和進一步閱讀材料
.NET, C# and ASP.NET Security Development
14 小時如今,有多種編程語言可用於將代碼編譯到.NET和ASP.NET框架。該環境爲安全開發提供了強大的工具,但開發人員需要了解如何應用架構和代碼級的編程技術,以實現所需的安全功能,並避免漏洞或限制其利用。
本課程旨在通過大量實踐練習,教會開發人員如何防止不受信任的代碼執行特權操作,通過強身份驗證和授權保護資源,提供遠程過程調用,處理會話,爲某些功能引入不同的實現方式等。
不同漏洞的介紹從展示使用.NET時常見的一些典型編程問題開始,而ASP.NET漏洞的討論還涉及各種環境設置及其影響。最後,ASP.NET特定漏洞的主題不僅涉及一些常見的Web應用安全挑戰,還涉及特殊問題和攻擊方法,如攻擊ViewState或字符串終止攻擊。
參加本課程的學員將
- 瞭解安全、IT安全和安全編碼的基本概念
- 學習OWASP Top Ten之外的Web漏洞,並瞭解如何避免它們
- 學習使用.NET開發環境的各種安全功能
- 獲得使用安全測試工具的實踐經驗
- 瞭解典型的編碼錯誤及如何避免它們
- 獲取一些最近的.NET和ASP.NET漏洞信息
- 獲取安全編碼實踐的參考資料和進一步閱讀材料
目標受衆
開發人員
Secure coding in PHP
21 小時該課程為 PHP 開發人員提供了必要的基本技能,以使其應用程式能夠抵禦通過 Internet 的現代攻擊。通過基於 PHP 的示例討論了 Web 漏洞,這些示例超出了 OWASP 前十名,解決了各種注入攻擊、腳本注入、針對 PHP 會話處理的攻擊、不安全的直接物件引用、檔上傳問題等等。PHP 相關的漏洞被歸類為標準漏洞類型,包括缺失或不正確的輸入驗證、不正確的錯誤和異常處理、安全功能的不當使用以及與時間和狀態相關的問題。對於後者,我們討論了諸如 open_basedir 規避、通過magic float拒絕服務或哈希表碰撞攻擊等攻擊。在所有情況下,參與者都將熟悉用於減輕入伍風險的最重要技術和功能。
特別關注用戶端安全性,解決 JavaScript、Ajax 和 HTML5 的安全問題。引入了許多與 PHP 相關的擴展,例如用於加密的 hash、mcrypt 和 OpenSSL,或用於輸入驗證的 Ctype、ext/filter 和 HTML Purifier。最好的強化實踐是與 PHP 配置(設置 php.ini)、Apache 和一般伺服器相關的。最後,概述了開發人員和測試人員可以使用的各種安全測試工具和技術,包括安全掃描器、滲透測試和漏洞利用包、嗅探器、代理伺服器、模糊工具和靜態原始碼分析器。
漏洞的引入和配置實踐都得到了許多動手練習的支持,這些練習演示了成功攻擊的後果,展示了如何應用緩解技術,並介紹了各種擴展和工具的使用。
參加本課程的學員將
- 瞭解安全、IT 安全和安全編碼的基本概念
- 瞭解 OWASP Top 10 之後的 Web 漏洞,並知道如何避免它們
- 瞭解用戶端漏洞和安全編碼實踐
- 對密碼學有實際的瞭解
- 學習使用 PHP 的各種安全功能
- 瞭解典型的編碼錯誤以及如何避免這些錯誤
- 瞭解 PHP 框架的最新漏洞
- 獲取有關使用安全測試工具的實用知識
- 獲取有關安全編碼實踐的原始程式碼和進一步閱讀材料
觀眾
開發人員
Microsoft SDL Core
14 小時綜合 SDL 核心培訓通過 Microsoft 安全開發生命週期 (SDL) 深入介紹了安全軟件設計、開發和測試。它提供了 SDL 基礎構建模塊的 100 級概述,隨後介紹了在開發過程的早期階段應用的設計技術,以檢測和修復缺陷。
在處理開發階段時,本課程概述了託管代碼和本機代碼中典型的安全相關編程錯誤。通過一系列實踐練習,參與者可以瞭解所討論漏洞的攻擊方法以及相關的緩解技術,體驗即時黑客攻擊的樂趣。介紹不同的安全測試方法後,演示了各種測試工具的有效性。參與者可以通過將工具應用於已討論的易受攻擊的代碼,瞭解這些工具的操作。
參與者將瞭解
安全、IT 安全和安全編碼的基本概念
熟悉 Microsoft 安全開發生命週期的關鍵步驟
學習安全設計和開發實踐
瞭解安全實施原則
理解安全測試方法論
- 獲取安全編碼實踐的來源和進一步閱讀材料
受衆
開發人員、經理
DevOps Security: Creating a DevOps Security Strategy
7 小時在這個講師指導的培訓課程中,學員將學習如何制定適當的安全策略,以應對DevOps安全挑戰。
EC-Council Certified DevSecOps Engineer (ECDE)
28 小時EC-Council Certified DevSecOps Engineer (ECDE) 是一門實作課程,旨在讓專業人員掌握在 DevOps 生命週期中嵌入安全性的技能,從而實現從規劃到部署的安全軟件開發。
這門由講師主導的培訓(線上或線下)針對中級軟件和 DevOps 專業人員,他們希望將安全實踐整合到 CI/CD 管道中,確保代碼的安全合規交付。
在培訓結束時,參與者將能夠:
- 理解 DevSecOps 的原則與實踐。
- 使用自動化工具保護 CI/CD 管道的每個階段。
- 實施安全編碼實踐與漏洞掃描。
- 通過實作實驗室與複習,為 ECDE 認證做好準備。
課程形式
- 互動式講座與討論。
- 在模擬管道中實作使用 DevSecOps 工具。
- 專注於安全開發與部署的指導練習。
課程定制選項
- 如需根據您團隊的工作流程或工具鏈定制此課程的培訓,請聯繫我們安排。
How to Write Secure Code
35 小時本課程在香港旨在幫助以下方面:
- 幫助開發者掌握撰寫安全編碼的技巧
- 幫助軟體測試人員在應用程式發佈到生產環境之前測試其安全性
- 幫助軟體架構師了解應用程式周圍的風險
- 幫助團隊領導者為開發者設定安全基準
- 幫助網站管理員配置伺服器以避免錯誤配置
安全開發者Java(含OWASP)
21 小時本課程通過Open Web Application Security Project (OWASP) 的測試方法,涵蓋Java的安全編碼概念和原則。Open Web Application Security Project是一個線上社區,致力於創建免費的文章、方法論、文檔、工具和技術,專注於Web應用安全領域。
安全開發者 .NET(含 OWASP)
21 小時本課程涵蓋通過開放Web應用安全項目(OWASP)測試方法論的ASP.net安全編碼概念和原則。OWASP是一個線上社區,提供免費的文章、方法論、文檔、工具和技術,專注於Web應用安全領域。
本課程探討了.NET框架的安全特性,以及如何保護Web應用程序。
