Application Security for Developers培训

Combined SDL核心培训通过Microsoft安全开发生命周期（SDL）提供对安全软件设计，开发和测试的深入了解。它提供了对SDL基本构建块的100级概述，然后是设计技术，用于检测和修复开发过程早期阶段的缺陷。

处理开发阶段，本课程概述了托管代码和本机代码的典型安全相关编程错误。针对所讨论的漏洞以及相关的缓解技术提供了攻击方法，所有这些都通过一些为参与者提供实时黑客乐趣的动手练习进行了解释。介绍了不同的安全测试方法，然后展示了各种测试工具的有效性。通过将工具应用于已经讨论过的易受攻击的代码，参与者可以通过一些实际练习来理解这些工具的操作。

参加此课程的学员将

• 了解安全性，IT安全性和安全编码的基本概念

• 了解Microsoft安全开发生命周期的基本步骤

• 学习安全的设计和开发实践

• 了解安全实施原则

• 了解安全测试方法

• 获取有关安全编码实践的资料和进一步阅读材料

听众

开发人员，经理

这个为期三天的课程涵盖了保护C / C++代码以防止可能利用内存管理和输入处理利用代码中的许多漏洞的恶意用户的基础知识，该课程涵盖了编写安全代码的原则。

描述

Java语言和运行时环境（JRE）旨在摆脱其他语言（例如C / C++遇到的最常见的安全漏洞。然而，软件开发人员和架构师不仅应该知道如何使用Java环境的各种安全功能（积极的安全性），还应该了解与Java开发相关的众多漏洞（负面安全性）。

在介绍安全服务之前，先简要概述密码学的基础，为理解适用组件的目的和操作提供一个共同的基线。这些组件的使用通过几个实践练习呈现，参与者可以自己尝试讨论的API。

本课程还介绍并解释了Java语言和平台最常见和最严重的编程缺陷，包括Java程序员提出的典型错误以及特定于语言和环境的问题。所有漏洞和相关攻击都通过易于理解的练习进行演示，然后是推荐的编码指南和可能的缓解技术。

参加此课程的学员将

• 了解安全性，IT安全性和安全编码的基本概念
• 了解OWASP Top Ten之外的Web漏洞并知道如何避免它们
• 学习使用Java开发环境的各种安全功能
• 对密码学有实际的了解
• 了解典型的编码错误以及如何避免错误
• 获取有关Java框架中最近一些漏洞的信息
• 获取有关安全编码实践的资料和进一步阅读材料

听众

开发商

描述

除了使用Java组件的扎实知识之外，即使对于经验丰富的Java程序员，也必须深入了解服务器端和客户端上与Web相关的漏洞，与Java编写的Web应用程序相关的不同漏洞，以及各种风险。

通过呈现相关攻击来演示基于Web的一般漏洞，而在Java的上下文中解释推荐的编码技术和缓解方法，其中最重要的目的是避免相关问题。此外，还特别关注客户端安全性，以解决Java Script， Ajax和HTML 5的安全问题。

本课程介绍了标准Java版的安全组件，该组件之前是加密的基础，为理解适用组件的用途和操作提供了一个共同的基线。所有组件的使用都是通过实践练习呈现的，参与者可以自己试用所讨论的API和工具。

最后，本课程解释了Java语言和平台最常见和最严重的编程缺陷。除了Java程序员提供的典型错误之外，引入的安全漏洞还包括特定于语言的问题以及源自运行时环境的问题。所有漏洞和相关攻击都通过易于理解的练习进行演示，然后是推荐的编码指南和可能的缓解技术。

参加此课程的学员将

• 了解安全性，IT安全性和安全编码的基本概念
• 了解OWASP Top Ten之外的Web漏洞并知道如何避免它们
• 了解客户端漏洞和安全编码实践
• 学习使用Java开发环境的各种安全功能
• 对密码学有实际的了解
• 了解典型的编码错误以及如何避免错误
• 获取有关Java框架中最近一些漏洞的信息
• 获得使用安全测试工具的实用知识
• 获取有关安全编码实践的资料和进一步阅读材料

听众

开发商

即使是经验丰富的Java程序员也并不掌握Java提供的各种安全服务，同样也不知道与使用Java编写的Web应用程序相关的不同漏洞。 该课程除了引入标准Java版的安全组件外，还涉及Java企业版（JEE）和Web服务的安全问题。在密码学和安全通信的基础之前，讨论具体的服务。各种练习涉及JEE中的声明性和程序化安全技术，同时讨论了传输层和端到端Web服务的安全性。所有组件的使用都通过几个实践练习来呈现，参与者可以在其中尝试所讨论的API和工具。 本课程还介绍了Java语言和平台以及与Web相关的漏洞的最常见和最严重的编程缺陷。除了Java程序员犯下的典型错误之外，引入的安全漏洞还涵盖了源自运行时环境的语言特定问题和问题。所有漏洞和相关攻击都通过简单易懂的练习来演示，然后是推荐的编码指南和可能的缓解技术。 参加本课程的学员将会理解安全性，IT安全性和安全编码的基本概念了解OWASP Top Ten之外的Web漏洞并了解如何避免它们了解Web服务的安全性概念学习使用Java开发环境的各种安全特性对密码学有实际的理解了解Java EE的安全解决方案了解典型的编码错误以及如何避免它们获取关于Java框架中最近的一些漏洞的信息获得使用安全测试工具的实用知识获取有关安全编码实践的资料和更多资料听众开发商

除了使用Java组件的丰富知识外，即使对于有经验的Java程序员也是如此，因此深入了解服务器和客户端的Web相关漏洞，与使用Java编写的Web应用程序相关的不同漏洞以及各种风险。 通过展示相关攻击来展示一般的基于web的漏洞，而推荐的编码技术和缓解方法在Java的背景下进行了解释，其中最重要的目标是避免相关的问题。此外，还特别关注客户端安全性，解决JavaScript，Ajax和HTML5的安全问题。 本课程介绍了Standard Java Edition的安全组件，该组件提供了密码学基础，为理解适用组件的目的和操作提供了一个共同基准。 Java企业版的安全问题通过各种练习来解释，这些练习解释了JEE中的声明式和程序式安全技术。 最后，该课程解释了Java语言和平台最常见和最严重的编程缺陷。除了Java程序员犯下的典型错误之外，引入的安全漏洞还涵盖了源自运行时环境的语言特定问题和问题。所有漏洞和相关攻击都通过简单易懂的练习来演示，然后是推荐的编码指南和可能的缓解技术。 参加本课程的学员将会理解安全性，IT安全性和安全编码的基本概念了解OWASP Top Ten之外的Web漏洞并了解如何避免它们了解客户端漏洞和安全编码实践学习使用Java开发环境的各种安全特性对密码学有实际的理解了解Web服务的安全性概念了解Java EE的安全解决方案了解典型的编码错误以及如何避免它们获取关于Java框架中最近的一些漏洞的信息获得使用安全测试工具的实用知识获取有关安全编码实践的资料和更多资料听众开发商

现在有许多编程语言可以将代码编译到.NET和ASP.NET框架中。环境提供了强大的安全开发手段，但开发人员应该知道如何应用体系结构和编码级编程技术，以实现所需的安全功能，避免漏洞或限制其利用。

本课程的目的是通过大量实践练习教授开发人员如何防止不受信任的代码执行特权操作，通过强身份验证和授权保护资源，提供远程过程调用，处理会话，为某些功能引入不同的实现，以及许多更多。

引入不同的漏洞首先介绍使用.NET时提交的一些典型编程问题，而对ASP.NET漏洞的讨论也涉及各种环境设置及其影响。最后，ASP.NET特定漏洞的主题不仅涉及一些常规Web应用程序安全性挑战，还涉及特殊问题和攻击方法，如攻击ViewState或字符串终止攻击。

参加此课程的学员将

• 了解安全性，IT安全性和安全编码的基本概念
• 了解OWASP Top Ten之外的Web漏洞并知道如何避免它们
• 学习使用.NET开发环境的各种安全功能
• 获得使用安全测试工具的实用知识
• 了解典型的编码错误以及如何避免错误
• 获取有关.NET和ASP.NET中最近一些漏洞的信息
• 获取有关安全编码实践的资料和进一步阅读材料

听众

开发商

现在有许多编程语言可以将代码编译到.NET和ASP.NET框架中。环境提供了强大的安全开发手段，但开发人员应该知道如何应用体系结构和编码级编程技术，以实现所需的安全功能，避免漏洞或限制其利用。

本课程的目的是通过大量实践练习教授开发人员如何防止不受信任的代码执行特权操作，通过强身份验证和授权保护资源，提供远程过程调用，处理会话，为某些功能引入不同的实现，以及许多更多。一个特殊部分专门用于配置和强化.NET和ASP.NET环境以确保安全性。

对密码学基础的简要介绍为理解各种算法的目的和操作提供了一个通用的实用基础，基于该基础，该课程提供了可在.NET中使用的加密功能。随后引入了一些最近的加密漏洞，这些漏洞既与某些加密算法和加密协议有关，也与旁道攻击有关。

引入不同的漏洞首先要介绍使用.NET时提交的一些典型编程问题，包括输入验证，错误处理或竞争条件的错误类别。特别关注XML安全性，而ASP.NET特定漏洞的主题解决了一些特殊问题和攻击方法：如攻击ViewState或字符串终止攻击。

参加此课程的学员将

• 了解安全性，IT安全性和安全编码的基本概念
• 学习使用.NET开发环境的各种安全功能
• 对密码学有实际的了解
• 了解最近针对密码系统的一些攻击
• 获取有关.NET和ASP.NET中最近一些漏洞的信息
• 了解典型的编码错误以及如何避免错误
• 获得使用安全测试工具的实用知识
• 获取有关安全编码实践的资料和进一步阅读材料

听众

开发商

除了使用NET和ASPNET的各种安全特性方面的丰富知识外，即使对于有经验的程序员也是如此，因此深入了解服务器端和客户端的Web相关漏洞以及各种风险的后果至关重要。 在本课程中，通过介绍相关攻击来演示一般的基于Web的漏洞，而在ASPNET的上下文中解释推荐的编码技术和缓解方法。客户端安全性特别关注解决JavaScript，Ajax和HTML5的安全问题。 该课程还涉及NET框架的安全体系结构和组件，包括基于代码和角色的访问控制，权限声明和检查机制以及透明度模型。对密码学基础的简要介绍为理解各种算法的目的和操作提供了一个通用的实用基准，在此基础上，课程介绍了可用于NET的密码学特性。 引入不同的安全漏洞，遵循完善的漏洞类别，处理输入验证，安全特性，错误处理，时间和状态相关问题，一组通用代码质量问题以及关于ASPNET特定漏洞的特殊部分。这些主题总结了测试工具的概述，可用于自动揭示一些已知的错误。 主题通过实践练习呈现，参与者可以尝试某些漏洞，缓解措施的后果以及所讨论的API和工具。 参加本课程的学员将会理解安全性，IT安全性和安全编码的基本概念了解OWASP Top Ten之外的Web漏洞并了解如何避免它们了解客户端漏洞和安全编码实践学习使用NET开发环境的各种安全特性对密码学有实际的理解获取有关NET和ASPNET中一些最新漏洞的信息获得使用安全测试工具的实用知识了解典型的编码错误以及如何避免它们获取有关安全编码实践的资料和更多资料听众开发商

保护可通过Web访问的应用程序需要精心准备的安全专业人员，他们始终了解当前的攻击方法和趋势。存在许多技术和环境，允许Web应用程序的舒适开发（如Java ，ASP.NET或PHP ，以及客户端的Java脚本或Ajax ）。人们不仅应该了解与这些平台相关的安全问题，还应该了解适用的所有常见漏洞，无论使用何种开发工具。

本课程概述了Web应用程序中适用的安全解决方案，重点关注安全通信和Web服务等最重要的技术，解决传输层安全性和端到端安全解决方案以及Web Services安全性和XML等标准。它还简要概述了典型的编程错误，最重要的是与丢失或不正确的输入验证有关。

通过呈现相关攻击来演示基于Web的漏洞，同时解释推荐的编码技术和缓解方法以避免相关问题。程序员可以使用不同的编程语言轻松地进行练习，因此与Web应用程序相关的主题可以轻松地与其他安全编码主题相结合，从而可以有效地满足通常处理各种语言和开发平台的企业开发团队的需求。开发Web应用程序。

参加此课程的学员将

• 了解安全性，IT安全性和安全编码的基本概念
• 了解OWASP Top Ten之外的Web漏洞并知道如何避免它们
• 了解客户端漏洞和安全编码实践
• 对密码学有实际的了解
• 了解Web服务的安全性概念
• 获得使用安全测试工具的实用知识
• 获取有关安全编码实践的资料和进一步阅读材料

听众

开发商

在熟悉漏洞和攻击方法之后，参与者将了解安全测试的一般方法和方法，以及可用于揭示特定漏洞的技术。安全测试应从收集有关系统的信息（ToC，即评估目标）开始，然后彻底的威胁建模应揭示并评估所有威胁，并达到最合适的风险分析驱动的测试计划。

安全评估可以在SDLC的各个步骤中进行，因此我们讨论有关系统的设计审查，代码审查，侦察和信息收集，测试实施和测试以及加强环境以进行安全部署。详细介绍了许多安全测试技术，如污点分析和基于启发式的代码审查，静态代码分析，动态Web漏洞测试或模糊测试。引入了各种类型的工具，可以应用这些工具来自动化软件产品的安全评估，这也得到了许多练习的支持，我们在这些练习中执行这些工具来分析已经讨论过的易受攻击的代码。许多现实案例研究支持更好地理解各种漏洞。

本课程帮助测试人员和QA人员准备充分的计划和精确执行安全测试，选择和使用最合适的工具和技术来查找隐藏的安全漏洞，从而提供可在第二天工作日应用的基本实用技能。

参加此课程的学员将

• 了解安全性，IT安全性和安全编码的基本概念
• 了解OWASP Top Ten之外的Web漏洞并知道如何避免它们
• 了解客户端漏洞和安全编码实践
• 了解安全测试方法和方法
• 掌握使用安全测试技术和工具的实用知识
• 获取有关安全编码实践的资料和进一步阅读材料

听众

开发人员，测试人员

保护可通过Web访问的应用程序需要精心准备的安全专业人员，他们始终了解当前的攻击方法和趋势。存在许多允许Web应用程序的舒适开发的技术和环境。人们不仅应该了解与这些平台相关的安全问题，还应该了解适用的所有常见漏洞，无论使用何种开发工具。

本课程概述了Web应用程序中适用的安全解决方案，特别关注理解要应用的最重要的加密解决方案。各种Web应用程序漏洞都出现在服务器端（遵循OWASP Top Ten）和客户端，通过相关攻击进行演示，然后是推荐的编码技术和缓解方法，以避免相关问题。安全编码的主题通过讨论输入验证领域中的一些典型的安全相关编程错误，安全功能的不正确使用和代码质量来完成。

测试在确保Web应用程序的安全性和健壮性方面起着非常重要的作用。可以应用各种方法 - 从高级审计到渗透测试再到道德黑客攻击 - 来查找不同类型的漏洞。但是，如果您想要超越容易找到的低调成果，安全测试应该得到妥善规划并妥善执行。请记住：安全测试人员应该理想地找到保护系统的所有错误，而对于攻击者来说，找到一个可利用的漏洞就足以渗透到系统中。

实践练习将有助于理解Web应用程序漏洞，编程错误以及最重要的缓解技术，以及从安全扫描程序，嗅探器，代理服务器，模糊测试工具到静态源代码分析器的各种测试工具的实际试用，本课程提供可在第二天在工作场所应用的基本实用技能。

参加此课程的学员将

• 了解安全性，IT安全性和安全编码的基本概念
• 了解OWASP Top Ten之外的Web漏洞并知道如何避免它们
• 了解客户端漏洞和安全编码实践
• 对密码学有实际的了解
• 了解安全测试方法和方法
• 掌握使用安全测试技术和工具的实用知识
• 了解各种平台，框架和库中的最新漏洞
• 获取有关安全编码实践的资料和进一步阅读材料

听众

开发人员，测试人员

本课程为PHP开发人员提供必要的技能，使他们的应用程序能够抵御通过Internet进行的当前攻击。通过基于PHP的示例讨论Web漏洞，这些示例超越了OWASP前十名，解决了各种注入攻击，脚本注入，PHP会话处理攻击，不安全的直接对象引用，文件上传问题等等。将PHP相关漏洞分组为标准漏洞类型，包括丢失或不正确的输入验证，不正确的错误和异常处理，不正确使用安全功能以及时间和状态相关问题。对于后者，我们讨论像open_basedir规避，通过魔术浮动的拒绝服务或散列表碰撞攻击等攻击。在所有情况下，参与者将熟悉用于减轻入伍风险的最重要的技术和职能。 客户端安全性特别关注解决JavaScript，Ajax和HTML5的安全问题。引入了许多与PHP相关的安全相关扩展，如散列，用于加密的mcrypt和OpenSSL，用于输入验证的Ctype，ext / filter和HTML Purifier。强化最佳实践与PHP配置（设置phpini），Apache和服务器有关。最后，概述了开发人员和测试人员可以使用的各种安全测试工具和技术，包括安全扫描器，渗透测试和漏洞利用包，嗅探器，代理服务器，模糊工具和静态源代码分析器。 通过一系列演示成功攻击后果的简单练习支持漏洞引入和配置实践，展示如何应用缓解技术并介绍各种扩展和工具的使用。 参加本课程的学员将会理解安全性，IT安全性和安全编码的基本概念了解OWASP Top Ten之外的Web漏洞并了解如何避免它们了解客户端漏洞和安全编码实践对密码学有实际的理解学习使用PHP的各种安全特性了解典型的编码错误以及如何避免它们了解最新的PHP框架漏洞获得使用安全测试工具的实用知识获取有关安全编码实践的资料和更多资料听众开发商

为了以最好的方式服务于在日常工作中同时使用各种平台的异构开发团队，我们将各种主题合并为一个综合课程，在单个培训活动中以教学方式呈现各种安全编码主题。本课程结合了C / C ++和Java平台安全性，提供了广泛的跨平台安全编码专业知识。 关于C / C ++，讨论了常见安全漏洞，并讨论了利用这些漏洞的攻击方法的实践练习，重点讨论了可用于防止这些危险漏洞发生的缓解技术，在市场推出之前检测它们或防止他们的剥削。 Java的安全组件和服务通过一系列实践练习介绍不同的API和工具进行讨论，参与者可以在这些练习中获得使用经验。该课程还涵盖了Web服务和相关Java服务的安全问题，这些服务可用于防止基于Internet的服务出现最严重的威胁。最后，易于理解的练习演示了Web和Java相关的安全漏洞，这些漏洞不仅显示了问题的根源，还演示了攻击方法以及推荐的缓解和编码技术，以避免相关的安全问题。 参加本课程的学员将会理解安全性，IT安全性和安全编码的基本概念了解OWASP Top Ten之外的Web漏洞并了解如何避免它们了解客户端漏洞和安全编码实践学习使用Java开发环境的各种安全特性对密码学有实际的理解实现不安全缓冲区处理的严重后果了解建筑保护技术及其弱点了解典型的编码错误以及如何避免它们了解各种平台，框架和库中最近的漏洞获取有关安全编码实践的资料和更多资料听众开发商

即使是经验丰富的编程师也无法掌握他们开发平台提供的各种安全服务,并且也无法了解他们发展的不同脆弱性。 该课程针对开发人员使用 Java 和 PHP,为他们提供必要的基本技能,使他们的应用程序抵抗当代攻击通过互联网。

安全架构的层次通过处理访问控制、验证和授权、安全通信和各种加密功能进行处理。 此外,还引入了各种API,可以用来确保您的代码在 PHP,如 OpenSSL 用于加密或 HTML Purifier 用于输入验证。 在服务器方面,最好的做法是为了硬化和配置操作系统、网络容器、文件系统、服务器和服务器本身,而专注于客户端方面的安全,通过安全问题为2Script、0和5。

一般的网页脆弱性是通过与顶十相匹配的例子讨论,显示各种注射攻击,脚本注射,反对会议处理攻击,不安全的直接对象参考,文件上传问题,以及许多其他。 各式各样的语言问题和问题,从工作时间环境中产生的,分为错误或错误输入验证的标准漏洞类型,安全功能的错误使用,错误的错误和例外处理,时间和状态相关问题,代码质量问题和移动代码相关漏洞。

参与者可以尝试讨论的API,工具和配置的效果为自己,而引入脆弱性都是由一系列实用的练习支持,展示成功攻击的后果,展示如何纠正错误和应用缓解技术,并引入各种扩展和工具的使用。

參加這項課程的參與者將

• 了解安全、IT安全和安全编码的基本概念
• 了解超越网页的脆弱性 OWASP 十大,并知道如何避免它们
• 了解客户端漏洞和安全编码实践
• 学习如何使用开发环境的不同安全特性(二)
• 了解加密的实用知识
• 学习如何使用各种安全功能(4)
• 了解网络服务的安全概念
• 获得使用安全测试工具的实用知识
• 了解典型的编码错误以及如何避免它们
• 了解最近在 Java 和 PHP 框架和图书馆的漏洞
• 获取安全编码实践的来源和更多阅读

观众

开发者