感謝您提交詢問!我們的一位團隊成員將在短時間內與您聯繫。
感謝您提交預訂!我們的一位團隊成員將在短時間內與您聯繫。
課程簡介
1. IT安全與安全編碼
- 基本安全原則:在Java應用程序中理解機密性、完整性和可用性(CIA)。
- 安全軟件開發生命週期(SSDLC):從需求到部署的集成安全。
- 安全編碼範式:深度防禦、最小權限和故障安全默認值。
- 標準漏洞分類:理解CWE(常見弱點枚舉)和OWASP。
2. Web應用程序安全
- 深入探討OWASP十大漏洞:詳細分析注入、身份驗證漏洞和敏感數據泄露。
- 跨站腳本攻擊(XSS):在Java/JSP中的反射型、存儲型和DOM型XSS場景。
- 跨站請求僞造(CSRF):攻擊機制及Anti-CSRF令牌的實現。
- 會話管理:Cookie安全、會話固定和超時管理。
- API安全:保護REST和SOAP端點免受濫用。
3. Web服務安全
- Web服務與傳統Web應用的區別:攻擊面的不同。
- 傳輸層安全:爲Java客戶端和服務器配置SSL/TLS。
- 消息安全:在負載級別確保完整性和機密性。
- 身份驗證標準:OAuth 2.0、OpenID Connect和JWT(JSON Web令牌)的實現。
4. XML安全
- XML解析漏洞:防止XML外部實體(XXE)攻擊。
- XML模式驗證:嚴格模式實施的最佳實踐。
- XML數字簽名:實現簽名以確保不可否認性。
- XML加密:加密XML內容的標準方法。
5. Java安全基礎
- Java安全架構:
java.security包和提供者架構。 - 安全提供者:安裝和配置如Bouncy Castle等提供者。
- 訪問控制:策略文件、權限和安全管理器(傳統與現代)。
- 密鑰庫管理:創建和管理用於證書的密鑰庫和信任庫。
6. 實用密碼學
- 加密算法:對稱加密(AES)、非對稱加密(RSA、ECC)和哈希算法(SHA-256/512)概述。
- 隨機數生成:
java.util.Random與java.security.SecureRandom的危險性。 - 密鑰管理:密鑰生成、存儲和輪換策略。
- Java加密架構(JCA):使用
Cipher、MessageDigest和Mac類。 - Java加密擴展(JCE):理解策略文件和無限制強度管轄。
7. Java安全服務
- Java中的SSL/TLS:使用
SSLSocketFactory和HttpsURLConnection。 - 信任管理器:爲私有PKI環境自定義信任驗證。
- 認證器:使用
Authenticator.getDefault()進行編程式認證。 - 證書解析:以編程方式讀取和分析X.509證書。
8. Java EE安全
- 聲明式安全:使用
web.xml和註解實現基於角色的訪問控制(RBAC)。 - 編程式安全:使用
HttpServletRequest.isUserInRole()和getRemoteUser()。 - JAAS(Java認證和授權服務):配置
login.conf並實現LoginModule。 - Servlet安全:容器管理的安全約束和認證方法(FORM、BASIC、DIGEST)。
9. 常見編碼錯誤和漏洞
- 不安全的反序列化:
ObjectInputStream的風險及繞過安全檢查。 - 命令注入:緩解操作系統級執行漏洞。
- 路徑遍歷:清理文件系統輸入以防止目錄遍歷。
- 反射濫用:與
java.lang.reflect相關的風險及繞過訪問控制。 - 硬編碼憑證:從源代碼中識別和移除敏感信息。
- 密碼學實現錯誤:使用ECB模式、弱密鑰或靜態IV。
10. 知識來源
- 靜態分析工具:使用SonarQube、Checkmarx和Fortify進行自動掃描。
- 動態分析工具:Burp Suite和OWASP ZAP概述。
- CVE數據庫:如何跟蹤和應對新的Java框架漏洞。
- 推薦閱讀:書籍、文檔和安全編碼檢查清單列表。
最低要求
無。
21 小時
客戶評論 (4)
培訓師的知識非常豐富,他清楚地知道自己在說什麼,並且能夠回答我們的問題
Adam - Fireup.PRO
課程 - Advanced Java Security
機器翻譯
實踐練習
Olek - Fireup.PRO
課程 - Advanced Java Security
機器翻譯
編碼練習
Mirek - Fireup.PRO
課程 - Advanced Java Security
機器翻譯
它提供了很多見解,深入探討了安全相關的內容
Nolbabalo Tshotsho - Vodacom SA
課程 - Advanced Java Security
機器翻譯
