求知 文章 文库 Lib 视频 iPerson 课程 认证 咨询 工具 讲座 Model Center   Code  
会员   
 
 
 
开班计划 | 技术学院 | 管理学院 | 嵌入式学院 | 机械 | 军工学院 | 定向培养 | 专家指导  
 电话 English
成功案例   品质保证
 
成功案例
某核电企 软件设计重构与代码
某集成电 多核体系的软件仿真
某电力能 设计模式原理及应用
南方航空 软件设计方法与实践
某跨国公 软件设计原理与实
爱立信( 软件设计
Moto 设计模式
 

全部课程 >安全  
创建安全的Java/J2EE Web应用代码
3560 次浏览  51 次
邱立文
曾任Sun资深Java开发工程师,透彻理解安全体系结构原理,具有多年Java web应用安全编程经验。
 
地点时间: 北京 上海 深圳根据报名开班
课程费用:5000元/人,详见 公开课学习手册
企业内训:可以根据企业需求,定制内训,详见 内训学习手册



认证方式:
培训前了解能力模型。
培训后进行能力评测:
  • 在线考试
  • 能力分析,给出学习建议
  • 合格者颁发证书,作为职业技能资格证明


    安全问题不只是系统工程师的关注点,大部分的问题都和不安全的代码有关,本课程让开发者审视:

    • 安全有哪些层次,哪些代码和安全,
    • 什么样的代码,会引起什么样的安全风险
    • 如何检测并记录这些代码安全问题
    • 如何通过安全的代码,避免这些安全风险,
    • 当风险发生的时候,如何处理,

    本课程从开发者的视角,关注安全编码问题,从入侵者的视角,识别安全漏洞,进而从开发者的视角,指导编写安全的代码,分析Java Web应用的安全漏洞及危害,教给您安全编码的黄金法则和最佳实践。


    培训目标:
    • 了解安全有哪些层次,哪些代码和安全,
    • 什么样的代码,会引起什么样的安全风险
    • 如何检测并记录这些代码安全问题
    • 如何通过安全的代码,避免这些安全风险,
    • 当风险发生的时候,如何处理
    • 执行安全编码原则和方法
      执行输入验证
      执行输出验证
      错误和失败的安全
      深度防御
      小心处理敏感数据
      划分或者分组处理用户、数据和进程
      遵循账户管理策略
      遵循审计和日志策略
      实现最小特权原则
      保持开发简单的设计
      限制应用的入口点
      不要自我发明
      不要泄露太多的信息
    • 了解如何建立:
        安全问题列表
        安全检测方法列表
        安全防范措施列表
    培训对象:开发工程师
    学员基础:具有一定的开发经验,了解常见的安全问题
    授课方式:
    本课程注重实战,并以工作坊的形式提供很多案例,让学员通过练习掌握微服务架构设计的过程,以及从传统架构向微服务改造的过程。同时,通过大量真实的案例,讲解许多公司在开展微服务转型过程中面临的难题、解决的思路,以及最终的设计。
    培训内容:2天

    安全编码概览
    • 安全有哪些层次,哪些代码和安全,
    • 什么样的代码,会引起什么样的安全风险
    • 如何检测并记录这些代码安全问题
    • 如何通过安全的代码,避免这些安全风险,
    • 当风险发生的时候,如何处理,
    分析软件安全越来越严重的
    原因和根源
    • 为什么软件安全问题日益增长
    • 黑客攻击方式的进化
    • 传统的分层保护方案减轻系统的风险
    • 为什么传统的基于网络的方案不工作
    • 黑客可直接痛过攻击软件达到窃取商业信息和破坏应用系统。
    • 演示如何利用软件自身的弱点达到攻击系统。
    • 软件需要保护它们自己
    • 传统学校关于安全技术的教育
    • 软件补丁和软件安全攻击的关系
    • 软件安全问题的根源。
    风险管理与安全保护
    • 风险的定义
    • 攻击与威胁的定义
    • 安全漏洞的定义
    • 应对安全威胁的手段
    • 国际安全组织对应用安全的一些法案和规定
    Web应用安全开发指导概述
    • 安全Web应用的目的
    • 安全漏洞与网络、主机和应用软件的关系
    • Web应用的安全范围
    • Web应用威胁与应对措施概述
    • Web应用安全的核心要素
    • OWASP对web应用安全的风险规定
    • Web应用安全的13条安全编码最佳实践原则概述
    Web安全检测方法
    • 常见的安全入侵类型
    • 安全的检测特征和方法
    • 安全检测工具和漏洞描述规范
    • 安全的报告视图
    编写J2EE Web应用安全代码的最佳实践原则和策略
    执行输入验证
    • 什么是输入验证
    • 为什么输入验证是必要
    • 输入来源
    • 输入验证漏洞的主要类型及修复建议
    • 输入验证技术
    • 输入验证总结
    • 参考读物
    执行输出验证
    • 什么是输出验证
    • 为什么输出验证是必要
    • 何时进行输出验证
    • 与输出验证相关的安全漏洞
    • 验证输出技术
    • 输出验证总结
    • 参考读物
    错误和失败的安全
    • 什么是错误处理
    • 为什么错误处理是必要的
    • 何时错误处理不起作用
    • 预防方法
    深度防御
    • 深度防范的介绍
    • 当只有单层防范时,会发生什么。
    • 深度防范如何发挥作用
    小心处理敏感数据
    • 敏感数据介绍
    • 国际标准对敏感数据处理的一些规定
    • 安全处理敏感数据的技术
    划分或者分组处理用户、
    数据和进程
    • 划分或者分组介绍
    • 数据分离
    • 用户分离
    • 进程分离
    • 划分数据、用户和进程
    遵循账户管理策略
    • 帐户管理和帐户管理策略
    • 账户管理和国际适应性标准
    • 帐户管理和遵守标准
    • 帐户管理最佳方案
    遵循审计和日志策略
    • 审计和日志介绍
    • 审计和日志最佳实践
    实现最小特权原则
    • 最小权限原则介绍
    • 不遵循最小权限原则的隐患
    • 如何实现最小权限原则
    保持开发简单的设计
    • 隐式安全问题
    • 保持设计简单
    限制应用的入口点
    • 介绍限制应用入口点的介绍
    • 攻击面和最小暴露原则
    不要自我发明
    • 介绍自我发明的概念
    • 自我发明的危险
    • 如何避免自我发明
    不要泄露太多的信息
    • 披露多余信息的问题
    • 披露敏感信息
    • 平衡安全性和可用性
    • 攻击者如何利用信息
    • 信息披露的常见例子
    • 信息最小披露原则
    安全编码回顾
    • 安全编码原则回顾
    • 安全问题列表
    • 安全检测方法列表
    • 安全防范措施列表
     
    3560 次浏览  51 次
    其他人还看了课程
    移动应用安全技术指南  1896 次浏览
    区块链技术  8873 次浏览
    C++安全编程与渗透测试(Windows平台)  2307 次浏览
    Web网络安全与渗透测试实践训练营  3466 次浏览
    注册信息安全专业人员(CISP)  4604 次浏览
    WEB网站与应用安全原理与实践  4044 次浏览
    定制内训


    咨询服务:架构评估与优化
    咨询目标
    对现有的架构进行评估,发现问题,并优化
    咨询范围 业务架构,应用架构,数据架构,技术架构
    咨询方式 对现有架构进行建模,然后诊断问题,对问题进行集成分析,设计优化方案,指导团队实施优化,最终效果评估。
    成功案例 中国移动广西分公司,中国电信
    详情咨询:010-62670969, zhgx@uml.net.cn
    课程计划
    QT应用开发 11-21[线上]
    C++高级编程 11-27[北京]
    LLM大模型应用与项目构建 12-26[特惠]
    UML和EA进行系统分析设计 12-20[线上]
    数据建模方法与工具 12-3[北京]
    SysML建模专家 1-16[北京]