求知 文章 文库 Lib 视频 Code iProcess 课程 认证 咨询 工具 火云堂 讲座吧   成长之路  
会员   
 
 
 
全部课程 | 技术学院 | 管理学院 | 嵌入式学院 | 在线学院  
成功案例   品质保证  电话 English
追随技术信仰

随时听讲座
每天看新闻
 
   
成功案例
西门子西 网络安全、嵌入式软
GE 区块链技术与实现
中国银行 信息安全技术及深度
北京和利 性能和安全性
北京 Web应用安全架构、入侵

相关课程  
WEB网站与应用安全原理与实践
web应用安全架构设计
创建安全的Java/J2EE Web代码
注册信息安全专业人员(CISP)
信息安全管理
信息安全问题与防范
 

创建安全的Java/J2EE Web应用代码     5383 次浏览    1185 次 
 
专家讲师:邱立文,曾任Sun资深Java开发工程师,透彻理解安全体系结构原理,具有多年Java web应用安全编程经验。
时间地点:北京 上海 深圳 根据报名开班
课程费用:5000元/人,详见 公开课学习手册
企业内训: 可以根据企业需求,定制内训,详见 内训学习手册
 

安全问题不只是系统工程师的关注点,大部分的问题都和不安全的代码有关,本课程让开发者审视:

  • 安全有哪些层次,哪些代码和安全,
  • 什么样的代码,会引起什么样的安全风险
  • 如何检测并记录这些代码安全问题
  • 如何通过安全的代码,避免这些安全风险,
  • 当风险发生的时候,如何处理,

本课程从开发者的视角,关注安全编码问题,从入侵者的视角,识别安全漏洞,进而从开发者的视角,指导编写安全的代码,分析Java Web应用的安全漏洞及危害,教给您安全编码的黄金法则和最佳实践。


 
培训目标:
  • 了解安全有哪些层次,哪些代码和安全,
  • 什么样的代码,会引起什么样的安全风险
  • 如何检测并记录这些代码安全问题
  • 如何通过安全的代码,避免这些安全风险,
  • 当风险发生的时候,如何处理
  • 执行安全编码原则和方法
    • 执行输入验证
      执行输出验证
      错误和失败的安全
      深度防御
      小心处理敏感数据
      划分或者分组处理用户、数据和进程
      遵循账户管理策略
      遵循审计和日志策略
      实现最小特权原则
      保持开发简单的设计
      限制应用的入口点
      不要自我发明
      不要泄露太多的信息
  • 了解如何建立:
      安全问题列表
      安全检测方法列表
      安全防范措施列表

     

培训对象:开发工程师
学员基础:具有一定的开发经验,了解常见的安全问题
授课方式: 定制课程 + 案例讲解 + 小组讨论,60%案例讲解,40%实践演练
培训内容:3天
安全编码概览
  • 安全有哪些层次,哪些代码和安全,
  • 什么样的代码,会引起什么样的安全风险
  • 如何检测并记录这些代码安全问题
  • 如何通过安全的代码,避免这些安全风险,
  • 当风险发生的时候,如何处理,
分析软件安全越来越严重的
原因和根源
  • 为什么软件安全问题日益增长
  • 黑客攻击方式的进化
  • 传统的分层保护方案减轻系统的风险
  • 为什么传统的基于网络的方案不工作
  • 黑客可直接痛过攻击软件达到窃取商业信息和破坏应用系统。
  • 演示如何利用软件自身的弱点达到攻击系统。
  • 软件需要保护它们自己
  • 传统学校关于安全技术的教育
  • 软件补丁和软件安全攻击的关系
  • 软件安全问题的根源。
风险管理与安全保护
  • 风险的定义
  • 攻击与威胁的定义
  • 安全漏洞的定义
  • 应对安全威胁的手段
  • 国际安全组织对应用安全的一些法案和规定
Web应用安全开发指导概述
  • 安全Web应用的目的
  • 安全漏洞与网络、主机和应用软件的关系
  • Web应用的安全范围
  • Web应用威胁与应对措施概述
  • Web应用安全的核心要素
  • OWASP对web应用安全的风险规定
  • Web应用安全的13条安全编码最佳实践原则概述
Web安全检测方法
  • 常见的安全入侵类型
  • 安全的检测特征和方法
  • 安全检测工具和漏洞描述规范
  • 安全的报告视图
编写J2EE Web应用安全代码的最佳实践原则和策略
执行输入验证
  • 什么是输入验证
  • 为什么输入验证是必要
  • 输入来源
  • 输入验证漏洞的主要类型及修复建议
  • 输入验证技术
  • 输入验证总结
  • 参考读物
执行输出验证
  • 什么是输出验证
  • 为什么输出验证是必要
  • 何时进行输出验证
  • 与输出验证相关的安全漏洞
  • 验证输出技术
  • 输出验证总结
  • 参考读物
错误和失败的安全
  • 什么是错误处理
  • 为什么错误处理是必要的
  • 何时错误处理不起作用
  • 预防方法
深度防御
  • 深度防范的介绍
  • 当只有单层防范时,会发生什么。
  • 深度防范如何发挥作用
小心处理敏感数据
  • 敏感数据介绍
  • 国际标准对敏感数据处理的一些规定
  • 安全处理敏感数据的技术
划分或者分组处理用户、
数据和进程
  • 划分或者分组介绍
  • 数据分离
  • 用户分离
  • 进程分离
  • 划分数据、用户和进程
遵循账户管理策略
  • 帐户管理和帐户管理策略
  • 账户管理和国际适应性标准
  • 帐户管理和遵守标准
  • 帐户管理最佳方案
遵循审计和日志策略
  • 审计和日志介绍
  • 审计和日志最佳实践
实现最小特权原则
  • 最小权限原则介绍
  • 不遵循最小权限原则的隐患
  • 如何实现最小权限原则
保持开发简单的设计
  • 隐式安全问题
  • 保持设计简单
限制应用的入口点
  • 介绍限制应用入口点的介绍
  • 攻击面和最小暴露原则
不要自我发明
  • 介绍自我发明的概念
  • 自我发明的危险
  • 如何避免自我发明
不要泄露太多的信息
  • 披露多余信息的问题
  • 披露敏感信息
  • 平衡安全性和可用性
  • 攻击者如何利用信息
  • 信息披露的常见例子
  • 信息最小披露原则
安全编码回顾
  • 安全编码原则回顾
  • 安全问题列表
  • 安全检测方法列表
  • 安全防范措施列表
5383 次浏览   1185 次
其他人还看了课程
企业网安全  3291 次浏览
WINDOWS安全运维培训  3838 次浏览
注册信息安全专业人员(CISP)  7810 次浏览
系统安全运维管理  3504 次浏览
IT安全原理、框架与实践  5023 次浏览
WEB网站与应用安全原理与实践  6417 次浏览
定制内训




最新活动计划
MBSE(基于模型的系统工程)10-29[北京]
DoDAF规范、模型与实例 11-5[北京]
QT应用开发 11-21[北京]
C++高级编程 11-27[北京]
业务建模&领域驱动设计 11-15[北京]
用户研究与用户建模 11-21[北京]