Application Security for Developers培訓

Combined SDL核心培訓通過Microsoft安全開發生命週期（SDL）提供對安全軟件設計，開發和測試的深入了解。它提供了對SDL基本構建塊的100級概述，然後是設計技術，用於檢測和修復開發過程早期階段的缺陷。

處理開發階段，本課程概述了託管代碼和本機代碼的典型安全相關編程錯誤。針對所討論的漏洞以及相關的緩解技術提供了攻擊方法，所有這些都通過一些為參與者提供實時黑客樂趣的動手練習進行了解釋。介紹了不同的安全測試方法，然後展示了各種測試工具的有效性。通過將工具應用於已經討論過的易受攻擊的代碼，參與者可以通過一些實際練習來理解這些工具的操作。

參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念

• 了解Microsoft安全開發生命週期的基本步驟

• 學習安全的設計和開發實踐

• 了解安全實施原則

• 了解安全測試方法

• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾

開發人員，經理

這個為期三天的課程涵蓋了保護C / C++代碼以防止可能利用內存管理和輸入處理利用代碼中的許多漏洞的惡意用戶的基礎知識，該課程涵蓋了編寫安全代碼的原則。

描述

Java語言和運行時環境（JRE）旨在擺脫其他語言（例如C / C++遇到的最常見的安全漏洞。然而，軟件開發人員和架構師不僅應該知道如何使用Java環境的各種安全功能（積極的安全性），還應該了解與Java開發相關的眾多漏洞（負面安全性）。

在介紹安全服務之前，先簡要概述密碼學的基礎，為理解適用組件的目的和操作提供一個共同的基線。通過幾個實踐練習介紹這些組件的使用，參與者可以自己嘗試討論的API。

本課程還介紹並解釋了Java語言和平台最常見和最嚴重的編程缺陷，包括Java程序員提出的典型錯誤以及特定於語言和環境的問題。所有漏洞和相關攻擊都通過易於理解的練習進行演示，然後是推薦的編碼指南和可能的緩解技術。

參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念
• 了解OWASP Top Ten之外的Web漏洞並知道如何避免它們
• 學習使用Java開發環境的各種安全功能
• 對密碼學有實際的了解
• 了解典型的編碼錯誤以及如何避免錯誤
• 獲取有關Java框架中最近一些漏洞的信息
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾

開發商

描述

除了使用Java組件的紮實知識之外，即使對於經驗豐富的Java程序員，也必須深入了解服務器端和客戶端上與Web相關的漏洞，與Java編寫的Web應用程序相關的不同漏洞，以及各種風險。

通過呈現相關攻擊來演示基於Web的一般漏洞，而在Java的上下文中解釋推薦的編碼技術和緩解方法，其中最重要的目的是避免相關問題。此外，還特別關注客戶端安全性，以解決Java Script， Ajax和HTML 5的安全問題。

本課程介紹了標準Java版的安全組件，該組件之前是加密的基礎，為理解適用組件的用途和操作提供了一個共同的基線。所有組件的使用都是通過實踐練習呈現的，參與者可以自己試用所討論的API和工具。

最後，本課程解釋了Java語言和平台最常見和最嚴重的編程缺陷。除了Java程序員提供的典型錯誤之外，引入的安全漏洞還包括特定於語言的問題以及源自運行時環境的問題。所有漏洞和相關攻擊都通過易於理解的練習進行演示，然後是推薦的編碼指南和可能的緩解技術。

參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念
• 了解OWASP Top Ten之外的Web漏洞並知道如何避免它們
• 了解客戶端漏洞和安全編碼實踐
• 學習使用Java開發環境的各種安全功能
• 對密碼學有實際的了解
• 了解典型的編碼錯誤以及如何避免錯誤
• 獲取有關Java框架中最近一些漏洞的信息
• 獲得使用安全測試工具的實用知識
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾

開發商

即使是經驗豐富的Java程序員也並不掌握Java提供的各種安全服務，同樣也不知道與使用Java編寫的Web應用程序相關的不同漏洞。 該課程除了引入標准Java版的安全組件外，還涉及Java企業版（JEE）和Web服務的安全問題。在密碼學和安全通信的基礎之前，討論具體的服務。各種練習涉及JEE中的聲明性和程序化安全技術，同時討論了傳輸層和端到端Web服務的安全性。所有組件的使用都通過幾個實踐練習來呈現，參與者可以在其中嘗試所討論的API和工具。 本課程還介紹了Java語言和平台以及與Web相關的漏洞的最常見和最嚴重的編程缺陷。除了Java程序員犯下的典型錯誤之外，引入的安全漏洞還涵蓋了源自運行時環境的語言特定問題和問題。所有漏洞和相關攻擊都通過簡單易懂的練習來演示，然後是推薦的編碼指南和可能的緩解技術。 參加本課程的學員將會理解安全性，IT安全性和安全編碼的基本概念了解OWASP Top Ten之外的Web漏洞並了解如何避免它們了解Web服務的安全性概念學習使用Java開發環境的各種安全特性對密碼學有實際的理解了解Java EE的安全解決方案了解典型的編碼錯誤以及如何避免它們獲取關于Java框架中最近的一些漏洞的信息獲得使用安全測試工具的實用知識獲取有關安全編碼實踐的資料和更多資料聽衆開發商

除了使用Java組件的豐富知識外，即使對于有經驗的Java程序員也是如此，因此深入了解服務器和客戶端的Web相關漏洞，與使用Java編寫的Web應用程序相關的不同漏洞以及各種風險。 通過展示相關攻擊來展示一般的基于web的漏洞，而推薦的編碼技術和緩解方法在Java的背景下進行了解釋，其中最重要的目標是避免相關的問題。此外，還特別關注客戶端安全性，解決JavaScript，Ajax和HTML5的安全問題。 本課程介紹了Standard Java Edition的安全組件，該組件提供了密碼學基礎，爲理解適用組件的目的和操作提供了一個共同基准。 Java企業版的安全問題通過各種練習來解釋，這些練習解釋了JEE中的聲明式和程序式安全技術。 最後，該課程解釋了Java語言和平台最常見和最嚴重的編程缺陷。除了Java程序員犯下的典型錯誤之外，引入的安全漏洞還涵蓋了源自運行時環境的語言特定問題和問題。所有漏洞和相關攻擊都通過簡單易懂的練習來演示，然後是推薦的編碼指南和可能的緩解技術。 參加本課程的學員將會理解安全性，IT安全性和安全編碼的基本概念了解OWASP Top Ten之外的Web漏洞並了解如何避免它們了解客戶端漏洞和安全編碼實踐學習使用Java開發環境的各種安全特性對密碼學有實際的理解了解Web服務的安全性概念了解Java EE的安全解決方案了解典型的編碼錯誤以及如何避免它們獲取關于Java框架中最近的一些漏洞的信息獲得使用安全測試工具的實用知識獲取有關安全編碼實踐的資料和更多資料聽衆開發商

目前有許多編程語言可用於將代碼編譯到.NET和ASP.NET框架。環境提供了強大的安全開發手段，但開發人員應該知道如何應用體系結構和編碼級編程技術，以實現所需的安全功能，避免漏洞或限制其利用。

本課程的目的是通過大量實踐練習教授開發人員如何防止不受信任的代碼執行特權操作，通過強身份驗證和授權保護資源，提供遠程過程調用，處理會話，為某些功能引入不同的實現，以及許多更多。

引入不同的漏洞首先介紹使用.NET時提交的一些典型編程問題，而對ASP.NET漏洞的討論也涉及各種環境設置及其影響。最後，ASP.NET特定漏洞的主題不僅涉及一些常規Web應用程序安全性挑戰，還涉及特殊問題和攻擊方法，如攻擊ViewState或字符串終止攻擊。

參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念
• 了解OWASP Top Ten之外的Web漏洞並知道如何避免它們
• 學習使用.NET開發環境的各種安全功能
• 獲得使用安全測試工具的實用知識
• 了解典型的編碼錯誤以及如何避免錯誤
• 獲取有關.NET和ASP.NET中最近一些漏洞的信息
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾

開發商

目前有許多編程語言可用於將代碼編譯到.NET和ASP.NET框架。環境提供了強大的安全開發手段，但開發人員應該知道如何應用體系結構和編碼級編程技術，以實現所需的安全功能，避免漏洞或限制其利用。

本課程的目的是通過大量實踐練習教授開發人員如何防止不受信任的代碼執行特權操作，通過強身份驗證和授權保護資源，提供遠程過程調用，處理會話，為某些功能引入不同的實現，以及許多更多。一個特殊部分專門用於配置和強化.NET和ASP.NET環境以確保安全性。

對密碼學基礎的簡要介紹為理解各種算法的目的和操作提供了一個通用的實用基礎，基於該基礎，該課程提供了可在.NET中使用的加密功能。隨後引入了一些最近的加密漏洞，這些漏洞既與某些加密算法和加密協議有關，也與旁道攻擊有關。

引入不同的漏洞首先要介紹使用.NET時提交的一些典型編程問題，包括輸入驗證，錯誤處理或競爭條件的錯誤類別。特別關注XML安全性，而ASP.NET特定漏洞的主題解決了一些特殊問題和攻擊方法：如攻擊ViewState或字符串終止攻擊。

參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念
• 學習使用.NET開發環境的各種安全功能
• 對密碼學有實際的了解
• 了解最近針對密碼系統的一些攻擊
• 獲取有關.NET和ASP.NET中最近一些漏洞的信息
• 了解典型的編碼錯誤以及如何避免錯誤
• 獲得使用安全測試工具的實用知識
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾

開發商

除了使用NET和ASPNET的各種安全特性方面的豐富知識外，即使對于有經驗的程序員也是如此，因此深入了解服務器端和客戶端的Web相關漏洞以及各種風險的後果至關重要。 在本課程中，通過介紹相關攻擊來演示一般的基于Web的漏洞，而在ASPNET的上下文中解釋推薦的編碼技術和緩解方法。客戶端安全性特別關注解決JavaScript，Ajax和HTML5的安全問題。 該課程還涉及NET框架的安全體系結構和組件，包括基于代碼和角色的訪問控制，權限聲明和檢查機制以及透明度模型。對密碼學基礎的簡要介紹爲理解各種算法的目的和操作提供了一個通用的實用基准，在此基礎上，課程介紹了可用于NET的密碼學特性。 引入不同的安全漏洞，遵循完善的漏洞類別，處理輸入驗證，安全特性，錯誤處理，時間和狀態相關問題，一組通用代碼質量問題以及關于ASPNET特定漏洞的特殊部分。這些主題總結了測試工具的概述，可用于自動揭示一些已知的錯誤。 主題通過實踐練習呈現，參與者可以嘗試某些漏洞，緩解措施的後果以及所討論的API和工具。 參加本課程的學員將會理解安全性，IT安全性和安全編碼的基本概念了解OWASP Top Ten之外的Web漏洞並了解如何避免它們了解客戶端漏洞和安全編碼實踐學習使用NET開發環境的各種安全特性對密碼學有實際的理解獲取有關NET和ASPNET中一些最新漏洞的信息獲得使用安全測試工具的實用知識了解典型的編碼錯誤以及如何避免它們獲取有關安全編碼實踐的資料和更多資料聽衆開發商

保護可通過Web訪問的應用程序需要精心準備的安全專業人員，他們始終了解當前的攻擊方法和趨勢。存在許多技術和環境，允許Web應用程序的舒適開發（如Java ，ASP.NET或PHP ，以及客戶端的Java腳本或Ajax ）。人們不僅應該了解與這些平台相關的安全問題，還應該了解適用的所有常見漏洞，無論使用何種開發工具。

本課程概述了Web應用程序中適用的安全解決方案，重點關注安全通信和Web服務等最重要的技術，解決傳輸層安全性和端到端安全解決方案以及Web Services安全性和XML等標準。它還簡要概述了典型的編程錯誤，最重要的是與丟失或不正確的輸入驗證有關。

通過呈現相關攻擊來演示基於Web的漏洞，同時解釋推薦的編碼技術和緩解方法以避免相關問題。程序員可以使用不同的編程語言輕鬆地進行練習，因此與Web應用程序相關的主題可以輕鬆地與其他安全編碼主題相結合，從而可以有效地滿足通常處理各種語言和開發平台的企業開發團隊的需求。開發Web應用程序。

參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念
• 了解OWASP Top Ten之外的Web漏洞並知道如何避免它們
• 了解客戶端漏洞和安全編碼實踐
• 對密碼學有實際的了解
• 了解Web服務的安全性概念
• 獲得使用安全測試工具的實用知識
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾

開發商

熟悉這些漏洞和攻擊方法後，參與者將了解安全測試的一般方法和方法，以及可用于揭示特定漏洞的技術。安全測試應該從收集有關系統的信息開始（ToC，即評估目標），然後全面的威脅建模應該揭示並評估所有威脅，並得出最適合的風險分析驅動測試計劃。 安全評估可以在SDLC的各個步驟中進行，因此我們將討論設計評審，代碼評審，系統偵察和信息收集，測試實施和測試以及強化環境以實現安全部署。詳細介紹了許多不同的安全測試技術，如汙點分析和基于啓發式的代碼審查，靜態代碼分析，動態Web漏洞測試或模糊測試。引入了各種類型的工具，可以用于自動化軟件産品的安全評估，這也得到了許多練習的支持，在這些練習中，我們執行這些工具來分析已經討論過的易受攻擊的代碼。許多真實案例研究支持更好地理解各種漏洞。 本課程爲測試人員和QA人員准備充分的計劃和准確執行安全測試，選擇和使用最合適的工具和技術來發現隱藏的安全缺陷，從而提供必要的實用技能，以便在第二天的工作日內應用。 參加本課程的學員將會理解安全性，IT安全性和安全編碼的基本概念了解OWASP Top Ten之外的Web漏洞並了解如何避免它們了解客戶端漏洞和安全編碼實踐了解安全測試方法和方法獲得使用安全測試技術和工具的實用知識獲取有關安全編碼實踐的資料和更多資料聽衆開發人員，測試人員

保護可通過Web訪問的應用程序需要精心準備的安全專業人員，他們始終了解當前的攻擊方法和趨勢。存在許多允許Web應用程序的舒適開發的技術和環境。人們不僅應該了解與這些平台相關的安全問題，還應該了解適用的所有常見漏洞，無論使用何種開發工具。

本課程概述了Web應用程序中適用的安全解決方案，特別關注理解要應用的最重要的加密解決方案。各種Web應用程序漏洞都出現在服務器端（遵循OWASP Top Ten）和客戶端，通過相關攻擊進行演示，然後是推薦的編碼技術和緩解方法，以避免相關問題。安全編碼的主題通過討論輸入驗證領域中的一些典型的安全相關編程錯誤，安全功能的不正確使用和代碼質量來完成。

測試在確保Web應用程序的安全性和健壯性方面起著非常重要的作用。可以應用各種方法 - 從高級審計到滲透測試再到道德黑客攻擊 - 來查找不同類型的漏洞。但是，如果您想要超越容易找到的低調成果，安全測試應該得到妥善規劃並妥善執行。請記住：安全測試人員應該理想地找到保護系統的所有錯誤，而對於攻擊者來說，找到一個可利用的漏洞就足以滲透到系統中。

實踐練習將有助於理解Web應用程序漏洞，編程錯誤以及最重要的緩解技術，以及從安全掃描程序，嗅探器，代理服務器，模糊測試工具到靜態源代碼分析器的各種測試工具的實際試用，本課程提供可在第二天在工作場所應用的基本實用技能。

參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念
• 了解OWASP Top Ten之外的Web漏洞並知道如何避免它們
• 了解客戶端漏洞和安全編碼實踐
• 對密碼學有實際的了解
• 了解安全測試方法和方法
• 掌握使用安全測試技術和工具的實用知識
• 了解各種平台，框架和庫中的最新漏洞
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾

開發人員，測試人員

本課程爲PHP開發人員提供必要的技能，使他們的應用程序能夠抵禦通過Internet進行的當前攻擊。通過基于PHP的示例討論Web漏洞，這些示例超越了OWASP前十名，解決了各種注入攻擊，腳本注入，PHP會話處理攻擊，不安全的直接對象引用，文件上傳問題等等。將PHP相關漏洞分組爲標准漏洞類型，包括丟失或不正確的輸入驗證，不正確的錯誤和異常處理，不正確使用安全功能以及時間和狀態相關問題。對于後者，我們討論像open_basedir規避，通過魔術浮動的拒絕服務或散列表碰撞攻擊等攻擊。在所有情況下，參與者將熟悉用于減輕入伍風險的最重要的技術和職能。 客戶端安全性特別關注解決JavaScript，Ajax和HTML5的安全問題。引入了許多與PHP相關的安全相關擴展，如散列，用于加密的mcrypt和OpenSSL，用于輸入驗證的Ctype，ext / filter和HTML Purifier。強化最佳實踐與PHP配置（設置phpini），Apache和服務器有關。最後，概述了開發人員和測試人員可以使用的各種安全測試工具和技術，包括安全掃描器，滲透測試和漏洞利用包，嗅探器，代理服務器，模糊工具和靜態源代碼分析器。 通過一系列演示成功攻擊後果的簡單練習支持漏洞引入和配置實踐，展示如何應用緩解技術並介紹各種擴展和工具的使用。 參加本課程的學員將會理解安全性，IT安全性和安全編碼的基本概念了解OWASP Top Ten之外的Web漏洞並了解如何避免它們了解客戶端漏洞和安全編碼實踐對密碼學有實際的理解學習使用PHP的各種安全特性了解典型的編碼錯誤以及如何避免它們了解最新的PHP框架漏洞獲得使用安全測試工具的實用知識獲取有關安全編碼實踐的資料和更多資料聽衆開發商

爲了以最好的方式服務于在日常工作中同時使用各種平台的異構開發團隊，我們將各種主題合並爲一個綜合課程，在單個培訓活動中以教學方式呈現各種安全編碼主題。本課程結合了C / C ++和Java平台安全性，提供了廣泛的跨平台安全編碼專業知識。 關于C / C ++，討論了常見安全漏洞，並討論了利用這些漏洞的攻擊方法的實踐練習，重點討論了可用于防止這些危險漏洞發生的緩解技術，在市場推出之前檢測它們或防止他們的剝削。 Java的安全組件和服務通過一系列實踐練習介紹不同的API和工具進行討論，參與者可以在這些練習中獲得使用經驗。該課程還涵蓋了Web服務和相關Java服務的安全問題，這些服務可用于防止基于Internet的服務出現最嚴重的威脅。最後，易于理解的練習演示了Web和Java相關的安全漏洞，這些漏洞不僅顯示了問題的根源，還演示了攻擊方法以及推薦的緩解和編碼技術，以避免相關的安全問題。 參加本課程的學員將會理解安全性，IT安全性和安全編碼的基本概念了解OWASP Top Ten之外的Web漏洞並了解如何避免它們了解客戶端漏洞和安全編碼實踐學習使用Java開發環境的各種安全特性對密碼學有實際的理解實現不安全緩沖區處理的嚴重後果了解建築保護技術及其弱點了解典型的編碼錯誤以及如何避免它們了解各種平台，框架和庫中最近的漏洞獲取有關安全編碼實踐的資料和更多資料聽衆開發商

即使是經驗豐富的程序員也不會完全掌握其開發平台提供的各種安全服務，同樣也不了解與其開發相關的不同漏洞。本課程面向使用Java和PHP開發人員，為他們提供必要的必要技能，使他們的應用程序能夠抵禦通過Internet的當代攻擊。

通過處理訪問控制，身份驗證和授權，安全通信和各種加密功能，可以了解Java安全體系結構的各個層次。還引入了各種API，可用於保護PHP的代碼，例如用於加密的OpenSSL或用於輸入驗證的HTML Purifier。在服務器端，給出了加強和配置操作系統，Web容器，文件系統， SQL服務器和PHP本身的最佳實踐，同時通過Java Script的安全性問題特別關注客戶端安全性。 ， Ajax和HTML 5。

通過與OWASP Top Ten對齊的示例討論常規Web漏洞，顯示各種注入攻擊，腳本注入，對會話處理的攻擊，不安全的直接對象引用，文件上載問題以及許多其他問題。引入了源自運行時環境的各種Java和PHP特定語言問題和問題，分為缺少或不正確的輸入驗證的標準漏洞類型，安全功能的不當使用，錯誤的錯誤和異常處理，時間和狀態相關問題，代碼質量問題和移動代碼相關的漏洞。

參與者可以自己嘗試討論的API，工具和配置效果，同時通過大量實踐練習支持漏洞的引入，演示成功攻擊的後果，展示如何糾正錯誤並應用緩解技術，並介紹各種擴展和工具的使用。

參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念
• 了解OWASP Top Ten之外的Web漏洞並知道如何避免它們
• 了解客戶端漏洞和安全編碼實踐
• 學習使用Java開發環境的各種安全功能
• 對密碼學有實際的了解
• 學習使用PHP各種安全功能
• 了解Web服務的安全性概念
• 獲得使用安全測試工具的實用知識
• 了解典型的編碼錯誤以及如何避免錯誤
• 了解Java和PHP框架和庫中的最新漏洞
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾

開發商