創建安全的Java/J2EE Web應用代碼培訓
創建安全的Java/J2EE Web應用代碼培訓
?
?
培訓目標：
了解安全有哪些層次，哪些代碼和安全，
什么樣的代碼，會引起什么樣的安全風險
如何檢測并記錄這些代碼安全問題
如何通過安全的代碼，避免這些安全風險，
當風險發生的時候，如何處理
執行安全編碼原則和方法
執行輸入驗證
執行輸出驗證
錯誤和失敗的安全
深度防御
小心處理敏感數據
劃分或者分組處理用戶、數據和進程
遵循賬戶管理策略
遵循審計和日志策略
實現最小特權原則
保持開發簡單的設計
限制應用的入口點
不要自我發明
不要泄露太多的信息
了解如何建立：
安全問題列表
安全檢測方法列表
安全防范措施列表
?
?
培訓內容：
安全編碼概覽
安全有哪些層次，哪些代碼和安全，
什么樣的代碼，會引起什么樣的安全風險
如何檢測并記錄這些代碼安全問題
如何通過安全的代碼，避免這些安全風險，
當風險發生的時候，如何處理，
分析軟件安全越來越嚴重的
原因和根源
為什么軟件安全問題日益增長
黑客攻擊方式的進化
傳統的分層保護方案減輕系統的風險
為什么傳統的基于網絡的方案不工作
黑客可直接痛過攻擊軟件達到竊取商業信息和破壞應用系統。
演示如何利用軟件自身的弱點達到攻擊系統。
軟件需要保護它們自己
傳統學校關于安全技術的教育
軟件補丁和軟件安全攻擊的關系
軟件安全問題的根源。
風險管理與安全保護
風險的定義
攻擊與威脅的定義
安全漏洞的定義
應對安全威脅的手段
國際安全組織對應用安全的一些法案和規定
Web應用安全開發指導概述
安全Web應用的目的
安全漏洞與網絡、主機和應用軟件的關系
Web應用的安全范圍
Web應用威脅與應對措施概述
Web應用安全的核心要素
OWASP對web應用安全的風險規定
Web應用安全的13條安全編碼最佳實踐原則概述
Web安全檢測方法
常見的安全入侵類型
安全的檢測特征和方法
安全檢測工具和漏洞描述規范
安全的報告視圖
編寫J2EE Web應用安全代碼的最佳實踐原則和策略
執行輸入驗證
什么是輸入驗證
為什么輸入驗證是必要
輸入來源
輸入驗證漏洞的主要類型及修復建議
輸入驗證技術
輸入驗證總結
參考讀物
執行輸出驗證
什么是輸出驗證
為什么輸出驗證是必要
何時進行輸出驗證
與輸出驗證相關的安全漏洞
驗證輸出技術
輸出驗證總結
參考讀物
錯誤和失敗的安全
什么是錯誤處理
為什么錯誤處理是必要的
何時錯誤處理不起作用
預防方法
深度防御
深度防范的介紹
當只有單層防范時，會發生什么。
深度防范如何發揮作用
小心處理敏感數據
敏感數據介紹
國際標準對敏感數據處理的一些規定
安全處理敏感數據的技術
劃分或者分組處理用戶、
數據和進程
劃分或者分組介紹
數據分離
用戶分離
進程分離
劃分數據、用戶和進程
遵循賬戶管理策略
帳戶管理和帳戶管理策略
賬戶管理和國際適應性標準
帳戶管理和遵守標準
帳戶管理最佳方案
遵循審計和日志策略
審計和日志介紹
審計和日志最佳實踐
實現最小特權原則
最小權限原則介紹
不遵循最小權限原則的隱患
如何實現最小權限原則
保持開發簡單的設計
隱式安全問題
保持設計簡單
限制應用的入口點
介紹限制應用入口點的介紹
攻擊面和最小暴露原則
不要自我發明
介紹自我發明的概念
自我發明的危險
如何避免自我發明
不要泄露太多的信息
披露多余信息的問題
披露敏感信息
平衡安全性和可用性
攻擊者如何利用信息
信息披露的常見例子
信息最小披露原則
安全編碼回顧
安全編碼原則回顧
安全問題列表
安全檢測方法列表
安全防范措施列表
?