Secure Web Application Development and Testing 培训

Android是一款面向移动设备（如手机和平板电脑）的开放平台。它具有多种安全功能，可以更轻松地开发安全软件;但是，它也缺少其他手持平台中存在的某些安全方面。本课程全面概述了这些功能，并指出了与底层Linux ，文件系统和环境相关的最重要的缺点，以及使用权限和其他Android软件开发组件。

本机代码和Java应用程序都描述了典型的安全隐患和漏洞，以及避免和减轻它们的建议和最佳实践。在许多情况下，现实生活中的例子和案例研究都支持讨论过的问题。最后，我们简要概述了如何使用安全测试工具来揭示任何与安全相关的编程错误。

参加此课程的学员将

• 了解安全性，IT安全性和安全编码的基本概念
• 了解Android上的安全解决方案
• 学习使用Android平台的各种安全功能
• 获取有关Android Java最近一些漏洞的信息
• 了解典型的编码错误以及如何避免错误
• 了解Android上的本机代码漏洞
• 实现本机代码中不安全缓冲区处理的严重后果
• 了解架构保护技术及其弱点
• 获取有关安全编码实践的资料和进一步阅读材料

听众

专业人士

实现安全的网路应用程式可能很困难，即使对于可能事先使用过各种加密构建块（例如加密和数位签名）的开发人员也是如此。为了让参与者了解这些加密原语的作用和用法，首先给出了安全通信的主要要求（安全确认、完整性、机密性、远端识别和匿名）的坚实基础，同时还介绍了可能破坏这些要求的典型问题以及实际解决方案。

由于网路安全的一个关键方面是密码学，因此还讨论了对称密码学、哈希、非对称密码学和密钥协定中最重要的加密演算法。这些元素不是提供深入的数学背景，而是从开发人员的角度进行讨论，展示了与加密使用相关的典型用例示例和实际考虑，例如公钥基础设施。介绍了安全通信的许多领域的安全协定，并深入讨论了最广泛使用的协定系列，例如 IPSEC 和 SSL/TLS。

讨论了与某些加密演算法和加密协定相关的典型加密漏洞，例如 BEAST、CRIME、TIME、BREACH、FREAK、Logjam、Padding oracle、Lucky Thirteen、POODLE 等，以及 RSA 计时攻击。在每种情况下，都会针对每个问题描述实际考虑和潜在后果，同样，无需深入数学细节。

最后，由于 XML 技术是网路应用程式数据交换的核心，因此描述了 XML 的安全方面。这包括在 Web 服务和 SOAP 消息中使用 XML 以及 XML 签名和 XML 加密等保护措施，以及这些保护措施中的弱点和 XML 特定的安全问题，例如 XML 注入、XML 外部实体 （XXE） 攻击、XML 炸弹和 XPath 注入。

参加本课程的学员将

• 了解安全、IT 安全和安全编码的基本概念
• 了解安全通信的要求
• 了解不同 OSI 层的网路攻击和防御
• 对密码学有实际的了解
• 了解基本安全协定
• 了解最近针对加密系统的一些攻击
• 获取有关一些最近的相关漏洞的资讯
• 了解 Web 服务的安全概念
• 获取有关安全编码实践的原始程式码和进一步阅读材料

观众

开发人员、专业人士

这个为期三天的课程涵盖了保护C / C++代码以防止可能利用内存管理和输入处理利用代码中的许多漏洞的恶意用户的基础知识，该课程涵盖了编写安全代码的原则。

即使是有经验的 Java 程式师也无法完全掌握 Java 提供的各种安全服务，同样也不知道与用 Java 编写的 Web 应用程式相关的不同漏洞。

该课程 - 除了介绍标准 Java 版的安全元件外 - 涉及 Java 企业版 （JEE） 和 Web 服务的安全问题。在讨论特定服务之前，先介绍加密和安全通信的基础。各种练习涉及 JEE 中的声明式和编程式安全技术，同时讨论了 Web 服务的传输层和端到端安全性。通过几个实践练习来介绍所有元件的使用，参与者可以亲自尝试所讨论的 API 和工具。

本课程还介绍并解释了 Java 语言和平台最常见和最严重的程式设计缺陷以及与Web相关的漏洞。除了 Java 程式师犯下的典型错误外，引入的安全漏洞还涵盖了特定于语言的问题和来自运行时环境的问题。所有漏洞和相关攻击都通过易于理解的练习进行演示，然后是推荐的编码指南和可能的缓解技术。

参加本课程的学员将

• 了解安全、IT 安全和安全编码的基本概念
• 了解 OWASP Top 10 之后的 Web 漏洞，并知道如何避免它们
• 了解 Web 服务的安全概念
• 学习使用 Java 开发环境的各种安全功能
• 对密码学有实际的了解
• 了解安全解决方案 Java EE
• 了解典型的编码错误以及如何避免这些错误
• 获取有关 Java 框架中一些最新漏洞的资讯
• 获取有关使用安全测试工具的实用知识
• 获取有关安全编码实践的原始程式码和进一步阅读材料

观众

开发人员

描述

Java语言和运行时环境（JRE）旨在摆脱其他语言（例如C / C++遇到的最常见的安全漏洞。然而，软件开发人员和架构师不仅应该知道如何使用Java环境的各种安全功能（积极的安全性），还应该了解与Java开发相关的众多漏洞（负面安全性）。

在介绍安全服务之前，先简要概述密码学的基础，为理解适用组件的目的和操作提供一个共同的基线。这些组件的使用通过几个实践练习呈现，参与者可以自己尝试讨论的API。

本课程还介绍并解释了Java语言和平台最常见和最严重的编程缺陷，包括Java程序员提出的典型错误以及特定于语言和环境的问题。所有漏洞和相关攻击都通过易于理解的练习进行演示，然后是推荐的编码指南和可能的缓解技术。

参加此课程的学员将

• 了解安全性，IT安全性和安全编码的基本概念
• 了解OWASP Top Ten之外的Web漏洞并知道如何避免它们
• 学习使用Java开发环境的各种安全功能
• 对密码学有实际的了解
• 了解典型的编码错误以及如何避免错误
• 获取有关Java框架中最近一些漏洞的信息
• 获取有关安全编码实践的资料和进一步阅读材料

听众

开发商

现在有许多编程语言可以将代码编译到.NET和ASP.NET框架中。环境提供了强大的安全开发手段，但开发人员应该知道如何应用体系结构和编码级编程技术，以实现所需的安全功能，避免漏洞或限制其利用。

本课程的目的是通过大量实践练习教授开发人员如何防止不受信任的代码执行特权操作，通过强身份验证和授权保护资源，提供远程过程调用，处理会话，为某些功能引入不同的实现，以及许多更多。

引入不同的漏洞首先介绍使用.NET时提交的一些典型编程问题，而对ASP.NET漏洞的讨论也涉及各种环境设置及其影响。最后，ASP.NET特定漏洞的主题不仅涉及一些常规Web应用程序安全性挑战，还涉及特殊问题和攻击方法，如攻击ViewState或字符串终止攻击。

参加此课程的学员将

• 了解安全性，IT安全性和安全编码的基本概念
• 了解OWASP Top Ten之外的Web漏洞并知道如何避免它们
• 学习使用.NET开发环境的各种安全功能
• 获得使用安全测试工具的实用知识
• 了解典型的编码错误以及如何避免错误
• 获取有关.NET和ASP.NET中最近一些漏洞的信息
• 获取有关安全编码实践的资料和进一步阅读材料

听众

开发商

本课程介绍了一些常见的安全概念，概述了漏洞的性质，无论使用何种程式设计语言和平台，并解释了如何处理软体开发生命周期各个阶段中与软体安全相关的风险。它没有深入探讨技术细节，而是重点介绍了各种软体开发技术中一些最有趣和最令人痛心的漏洞，并提出了安全测试的挑战，以及一些可以应用于查找代码中任何现有问题的技术和工具。

参加本课程的学员将

• 了解安全、IT 安全和安全编码的基本概念
• 了解伺服器端和用户端的 Web 漏洞
• 意识到不安全的缓冲区处理的严重后果
• 了解开发环境和框架中一些最新的漏洞
• 了解典型的编码错误以及如何避免这些错误
• 了解安全测试方法和方法

观众

经理

该课程为 PHP 开发人员提供了必要的基本技能，以使其应用程式能够抵御通过 Internet 的现代攻击。通过基于 PHP 的示例讨论了 Web 漏洞，这些示例超出了 OWASP 前十名，解决了各种注入攻击、脚本注入、针对 PHP 会话处理的攻击、不安全的直接物件引用、档上传问题等等。PHP 相关的漏洞被归类为标准漏洞类型，包括缺失或不正确的输入验证、不正确的错误和异常处理、安全功能的不当使用以及与时间和状态相关的问题。对于后者，我们讨论了诸如 open_basedir 规避、通过magic float拒绝服务或哈希表碰撞攻击等攻击。在所有情况下，参与者都将熟悉用于减轻入伍风险的最重要技术和功能。

特别关注用户端安全性，解决 JavaScript、Ajax 和 HTML5 的安全问题。引入了许多与 PHP 相关的扩展，例如用于加密的 hash、mcrypt 和 OpenSSL，或用于输入验证的 Ctype、ext/filter 和 HTML Purifier。最好的强化实践是与 PHP 配置（设置 php.ini）、Apache 和一般伺服器相关的。最后，概述了开发人员和测试人员可以使用的各种安全测试工具和技术，包括安全扫描器、渗透测试和漏洞利用包、嗅探器、代理伺服器、模糊工具和静态原始码分析器。

漏洞的引入和配置实践都得到了许多动手练习的支持，这些练习演示了成功攻击的后果，展示了如何应用缓解技术，并介绍了各种扩展和工具的使用。

参加本课程的学员将

• 了解安全、IT 安全和安全编码的基本概念
• 了解 OWASP Top 10 之后的 Web 漏洞，并知道如何避免它们
• 了解用户端漏洞和安全编码实践
• 对密码学有实际的了解
• 学习使用 PHP 的各种安全功能
• 了解典型的编码错误以及如何避免这些错误
• 了解 PHP 框架的最新漏洞
• 获取有关使用安全测试工具的实用知识
• 获取有关安全编码实践的原始程式码和进一步阅读材料

观众

开发人员

Combined SDL核心培训通过Microsoft安全开发生命周期（SDL）提供对安全软件设计，开发和测试的深入了解。它提供了对SDL基本构建块的100级概述，然后是设计技术，用于检测和修复开发过程早期阶段的缺陷。

处理开发阶段，本课程概述了托管代码和本机代码的典型安全相关编程错误。针对所讨论的漏洞以及相关的缓解技术提供了攻击方法，所有这些都通过一些为参与者提供实时黑客乐趣的动手练习进行了解释。介绍了不同的安全测试方法，然后展示了各种测试工具的有效性。通过将工具应用于已经讨论过的易受攻击的代码，参与者可以通过一些实际练习来理解这些工具的操作。

参加此课程的学员将

• 了解安全性，IT安全性和安全编码的基本概念

• 了解Microsoft安全开发生命周期的基本步骤

• 学习安全的设计和开发实践

• 了解安全实施原则

• 了解安全测试方法

• 获取有关安全编码实践的资料和进一步阅读材料

听众

开发人员，经理

在熟悉漏洞和攻击方法之后，参与者将了解安全测试的一般方法和方法，以及可用于揭示特定漏洞的技术。安全测试应从收集有关系统的资讯（ToC，即评估目标）开始，然后进行彻底的威胁建模，揭示所有威胁并对其进行评级，从而得出最合适的风险分析驱动测试计划。

安全评估可以在 SDLC 的各个步骤进行，因此我们讨论了设计审查、代码审查、侦察和有关系统的资讯收集、测试实施以及测试和强化环境以实现安全部署。详细介绍了许多安全测试技术，例如污点分析和基于启发式的代码审查、静态代码分析、动态 Web 漏洞测试或模糊测试。介绍了各种类型的工具，这些工具可用于自动对软体产品进行安全评估，这也得到了许多练习的支援，我们在其中执行这些工具来分析已经讨论过的易受攻击的代码。许多现实生活中的案例研究支援更好地了解各种脆弱性。

本课程使测试人员和QA人员能够充分规划和精确执行安全测试，选择并使用最合适的工具和技术来发现隐藏的安全漏洞，从而提供可在第二天工作日应用的基本实践技能。

参加本课程的学员将

• 了解安全、IT 安全和安全编码的基本概念
• 了解 OWASP Top Ten 之后的 Web 漏洞，并知道如何避免它们
• 了解用户端漏洞和安全编码实践
• 了解安全测试方法和方法
• 获取有关使用安全测试技术和工具的实用知识
• 获取有关安全编码实践的原始程式码和进一步阅读材料

观众

开发人员、测试人员

在这个由讲师指导的中国现场课程中，参与者将学习如何制定适当的安全策略来应对DevOps安全挑战。

This Course in 中国 aims to help in the following:

1. Help Developers to master the techniques of writing Secure Code
2. Help Software Testers to test the security of the application before publishing to the production environment
3. Help Software Architects to understand the risks surrounding the applications
4. Help Team Leaders to set the security base lines for the developers
5. Help Web Masters to configure the Servers to avoid miss-configurations

本课程通过开放式Web应用程序安全项目（ OWASP ）测试方法，介绍了Java的安全编码概念和原理。 Open Web Application Security Project是一个在线社区，可以在Web应用程序安全性领域创建免费的文章，方法，文档，工具和技术。

本课程通过开放式Web应用程序安全项目（ OWASP ）测试方法介绍了ASP.net的安全编码概念和原理， OWASP是一个在线社区，可以在该领域创建免费的文章，方法，文档，工具和技术。 Web应用程序安全性。

本课程探讨了Dot Net Framework安全功能以及如何保护Web应用程序。