Network Security 和 安全 Communication 培训

编写安全的C和C++代码，需要严格防御恶意利用、内存损坏和输入验证绕过。本课程探讨漏洞模式，包括缓冲区溢出、释放后使用、整数溢出和类型混淆。参与者将应用安全编码指南、静态分析工具和防御性编程技术，消除弱点，强制执行输入净化，并交付能够抵御网络攻击的强化软件。

即使是有经验的Java程序员，也未必完全掌握Java提供的各种安全服务，同样可能不了解与Java编写的Web应用程序相关的各种漏洞。

本课程除了介绍标准Java版的安全组件外，还涉及Java企业版（JEE）和Web服务的安全问题。在讨论具体服务之前，课程会先讲解密码学和安全通信的基础知识。通过各种练习，参与者可以实践JEE中的声明式和编程式安全技术，同时讨论Web服务的传输层和端到端安全性。所有组件的使用将通过多个实际练习进行演示，参与者可以亲自尝试所讨论的API和工具。

课程还详细讲解并解释了Java语言和平台中最常见和最严重的编程缺陷，以及Web相关的漏洞。除了Java程序员常犯的典型错误外，课程还涵盖了特定于语言的问题和运行时环境引发的问题。所有漏洞和相关攻击都通过易于理解的练习进行演示，随后提供推荐的编码指南和可能的缓解技术。

参加本课程的学员将

• 了解安全、IT安全和安全编码的基本概念
• 学习超越OWASP十大漏洞的Web漏洞，并了解如何避免它们
• 理解Web服务的安全概念
• 学习使用Java开发环境的各种安全功能
• 对密码学有实际的理解
• 理解Java EE的安全解决方案
• 了解典型的编码错误及其避免方法
• 获取有关Java框架中最新漏洞的信息
• 获得使用安全测试工具的实践经验
• 获取有关安全编码实践的参考资料和进一步阅读材料

受众

开发人员

如今，有多种编程语言可用于将代码编译到.NET和ASP.NET框架。该环境为安全开发提供了强大的工具，但开发人员需要了解如何应用架构和代码级的编程技术，以实现所需的安全功能，并避免漏洞或限制其利用。

本课程旨在通过大量实践练习，教会开发人员如何防止不受信任的代码执行特权操作，通过强身份验证和授权保护资源，提供远程过程调用，处理会话，为某些功能引入不同的实现方式等。

不同漏洞的介绍从展示使用.NET时常见的一些典型编程问题开始，而ASP.NET漏洞的讨论还涉及各种环境设置及其影响。最后，ASP.NET特定漏洞的主题不仅涉及一些常见的Web应用安全挑战，还涉及特殊问题和攻击方法，如攻击ViewState或字符串终止攻击。

参加本课程的学员将

• 了解安全、IT安全和安全编码的基本概念
• 学习OWASP Top Ten之外的Web漏洞，并了解如何避免它们
• 学习使用.NET开发环境的各种安全功能
• 获得使用安全测试工具的实践经验
• 了解典型的编码错误及如何避免它们
• 获取一些最近的.NET和ASP.NET漏洞信息
• 获取安全编码实践的参考资料和进一步阅读材料

目标受众

开发人员

该课程为 PHP 开发人员提供了必要的基本技能，以使其应用程式能够抵御通过 Internet 的现代攻击。通过基于 PHP 的示例讨论了 Web 漏洞，这些示例超出了 OWASP 前十名，解决了各种注入攻击、脚本注入、针对 PHP 会话处理的攻击、不安全的直接物件引用、档上传问题等等。PHP 相关的漏洞被归类为标准漏洞类型，包括缺失或不正确的输入验证、不正确的错误和异常处理、安全功能的不当使用以及与时间和状态相关的问题。对于后者，我们讨论了诸如 open_basedir 规避、通过magic float拒绝服务或哈希表碰撞攻击等攻击。在所有情况下，参与者都将熟悉用于减轻入伍风险的最重要技术和功能。

特别关注用户端安全性，解决 JavaScript、Ajax 和 HTML5 的安全问题。引入了许多与 PHP 相关的扩展，例如用于加密的 hash、mcrypt 和 OpenSSL，或用于输入验证的 Ctype、ext/filter 和 HTML Purifier。最好的强化实践是与 PHP 配置（设置 php.ini）、Apache 和一般伺服器相关的。最后，概述了开发人员和测试人员可以使用的各种安全测试工具和技术，包括安全扫描器、渗透测试和漏洞利用包、嗅探器、代理伺服器、模糊工具和静态原始码分析器。

漏洞的引入和配置实践都得到了许多动手练习的支持，这些练习演示了成功攻击的后果，展示了如何应用缓解技术，并介绍了各种扩展和工具的使用。

参加本课程的学员将

• 了解安全、IT 安全和安全编码的基本概念
• 了解 OWASP Top 10 之后的 Web 漏洞，并知道如何避免它们
• 了解用户端漏洞和安全编码实践
• 对密码学有实际的了解
• 学习使用 PHP 的各种安全功能
• 了解典型的编码错误以及如何避免这些错误
• 了解 PHP 框架的最新漏洞
• 获取有关使用安全测试工具的实用知识
• 获取有关安全编码实践的原始程式码和进一步阅读材料

观众

开发人员

综合 SDL 核心培训通过 Microsoft 安全开发生命周期 (SDL) 深入介绍了安全软件设计、开发和测试。它提供了 SDL 基础构建模块的 100 级概述，随后介绍了在开发过程的早期阶段应用的设计技术，以检测和修复缺陷。

在处理开发阶段时，本课程概述了托管代码和本机代码中典型的安全相关编程错误。通过一系列实践练习，参与者可以了解所讨论漏洞的攻击方法以及相关的缓解技术，体验实时黑客攻击的乐趣。介绍不同的安全测试方法后，演示了各种测试工具的有效性。参与者可以通过将工具应用于已讨论的易受攻击的代码，了解这些工具的操作。

参与者将了解

安全、IT 安全和安全编码的基本概念

熟悉 Microsoft 安全开发生命周期的关键步骤

学习安全设计和开发实践

了解安全实施原则

理解安全测试方法论

• 获取安全编码实践的来源和进一步阅读材料

受众

开发人员、经理

在这个讲师指导的培训课程中，学员将学习如何制定适当的安全策略，以应对DevOps安全挑战。

EC-Council Certified DevSecOps Engineer (ECDE) 是一门实作课程，旨在让专业人员掌握在 DevOps 生命周期中嵌入安全性的技能，从而实现从规划到部署的安全软件开发。

这门由讲师主导的培训（线上或线下）针对中级软件和 DevOps 专业人员，他们希望将安全实践整合到 CI/CD 管道中，确保代码的安全合规交付。

在培训结束时，参与者将能够：

• 理解 DevSecOps 的原则与实践。
• 使用自动化工具保护 CI/CD 管道的每个阶段。
• 实施安全编码实践与漏洞扫描。
• 通过实作实验室与复习，为 ECDE 认证做好准备。

课程形式

• 互动式讲座与讨论。
• 在模拟管道中实作使用 DevSecOps 工具。
• 专注于安全开发与部署的指导练习。

课程定制选项

• 如需根据您团队的工作流程或工具链定制此课程的培训，请联系我们安排。

本课程在中国旨在帮助以下方面：

1. 帮助开发者掌握撰写安全编码的技巧
2. 帮助软体测试人员在应用程式发布到生产环境之前测试其安全性
3. 帮助软体架构师了解应用程式周围的风险
4. 帮助团队领导者为开发者设定安全基准
5. 帮助网站管理员配置伺服器以避免错误配置

本课程通过Open Web Application Security Project (OWASP) 的测试方法，涵盖Java的安全编码概念和原则。Open Web Application Security Project是一个线上社区，致力于创建免费的文章、方法论、文档、工具和技术，专注于Web应用安全领域。

本课程涵盖通过开放Web应用安全项目（OWASP）测试方法论的ASP.net安全编码概念和原则。OWASP是一个线上社区，提供免费的文章、方法论、文档、工具和技术，专注于Web应用安全领域。

本课程探讨了.NET框架的安全特性，以及如何保护Web应用程序。