感謝您提交詢問!我們的一位團隊成員將在短時間內與您聯繫。
感謝您提交預訂!我們的一位團隊成員將在短時間內與您聯繫。
課程簡介
IT安全與安全編碼基礎
- 理解CIA三要素:機密性、完整性、可用性作爲核心安全原則
- 跨語言/平臺的常見漏洞和攻擊(SQL注入、XSS、CSRF、SSRF等)
- 安全SDLC在代碼級威脅預防、檢測和緩解策略中的作用
Java環境中的Web應用安全
- OWASP十大漏洞:將行業標準與Java常見缺陷對齊
- 注入緩解:使用預處理語句、ORM層和參數化查詢
- 身份驗證漏洞(會話管理漏洞、XSS作爲攻擊向量)及修復模式
- 輸入驗證以抵禦目錄遍歷和路徑操縱攻擊
Java安全與密碼學深入探討
- 核心密碼學概念:對稱與非對稱加密、哈希算法、數字簽名
- 安全通信協議:Java應用中的TLS/SSL設置最佳實踐(HTTPS)
- 實踐實驗室:使用SSL/TLS配置Web服務器與後端服務之間的安全連接
Java安全服務與企業安全功能
- 使用內置安全API實現強身份驗證(JAAS、KeyStore、CertificatePath、SecureRandom)
- 以最小化劫持或固定風險管理用戶會話
- 實驗室:實現安全會話管理模式並緩解會話Cookie被盜風險
Java中的常見編碼錯誤與漏洞
- 識別導致類加載漏洞的不安全編碼模式(與反序列化、JAR提取相關的CVE)
- 防止不安全的反射使用導致特權提升下的任意代碼執行
- 理解使用不安全日誌框架的影響,並通過安全處理程序或日誌級別緩解風險
- 實踐實驗室:將不安全的Java代碼示例重構爲安全模式(FindSecurityBugs重構練習)
密碼學實踐與現代安全編碼模式
- 實踐加密:設計安全的密鑰管理,保護傳輸中和靜態的敏感數據
- 哈希用於完整性驗證:密碼存儲、文件內容驗證和數字簽名工作流程
- 實驗室:實現安全數據哈希(SHA-256)用於密碼存儲,並驗證存儲的哈希值與輸入
高級安全編碼與威脅建模
- 將靜態代碼分析集成到CI/CD管道中,使用FindSecurityBugs與Maven/Gradle
- 通過威脅建模工作坊在設計階段早期識別風險
- 工作坊:將威脅建模應用於示例Java應用,優先處理風險並實施安全編碼實踐
畢業項目與安全編碼路線圖
- 學員選擇一個真實世界的Java項目(Web應用、微服務或庫)
- 分析代碼庫中的OWASP十大漏洞(注入、身份驗證漏洞、SSI等)
- 將不安全代碼重構爲最佳實踐模式,並實施安全服務配置
- 記錄過程、遇到的挑戰和新的學習成果,並進行同行評審和導師反饋
開放問答、資源分發與最終回顧
- 開放討論論壇,解決常見安全編碼問題,澄清高級概念並分享真實世界經驗
- 精選資源庫:OWASP Java安全編碼十大備忘單、FindSecurityBugs重構指南及推薦的安全編碼庫
- 課程結束及培訓後支持,幫助學員將新技能應用於正在進行的項目
最低要求
- 具備操作現代筆記本電腦/臺式機操作系統和標準辦公生產力工具(文字處理、電子表格)的基本計算機技能
- 無需Java編程或安全經驗,但鼓勵具備面向對象概念和標準Web開發工作流程的基礎知識
- 願意參與實踐練習、測驗和真實案例研究分析,以進行技能應用練習
14 小時
客戶評論 (3)
我們獲得了關於背景的全面概述,例如爲什麼需要某些註解及其含義。我喜歡培訓的實踐部分,需要手動運行命令並調用rest api。
Alina - ACCENTURE SERVICES S.R.L
課程 - Quarkus for Developers
機器翻譯
通過練習和項目分享進行互動
Claudiu - MSG system
課程 - Advanced Spring Boot
機器翻譯
分享的額外信息非常有用,培訓內容不僅僅是簡單的groovy,這一點很好。
Covenant - Vodacom
課程 - Groovy Programming
機器翻譯
