Web Application Security培訓

Android 是一个面向手机和平板电脑等移动设备的开放平台。它具有多种安全功能，使开发安全软件更加容易，但也缺少其他手持平台中存在的某些安全方面。本课程全面概述了这些功能，并指出了与底层Linux、文件系统及整体环境相关的最关键缺陷，以及在使用权限和其他Android软件开发组件时需要注意的问题。

课程详细描述了本地代码和Java应用程序中典型的安全陷阱和漏洞，同时提供了避免和缓解这些问题的建议和最佳实践。在许多情况下，讨论的问题通过实际案例和案例研究加以支持。最后，我们简要介绍了如何使用安全测试工具来揭示与安全相关的编程错误。

参与者参加本课程后将能够：

• 理解安全、IT安全和安全编码的基本概念
• 学习Android上的安全解决方案
• 学习使用Android平台的各种安全功能
• 获取关于Android上Java最近漏洞的信息
• 了解典型的编码错误及其避免方法
• 理解Android上本地代码的漏洞
• 认识到本地代码中不安全缓冲区处理的严重后果
• 理解架构保护技术及其弱点
• 获取安全编码实践的来源和进一步阅读材料

受众

专业人士

實現安全的網路應用程式可能很困難，即使對於可能事先使用過各種加密構建塊（例如加密和數位簽名）的開發人員也是如此。為了讓參與者了解這些加密原語的作用和用法，首先給出了安全通信的主要要求（安全確認、完整性、機密性、遠端識別和匿名）的堅實基礎，同時還介紹了可能破壞這些要求的典型問題以及實際解決方案。

由於網路安全的一個關鍵方面是密碼學，因此還討論了對稱密碼學、哈希、非對稱密碼學和密鑰協定中最重要的加密演算法。這些元素不是提供深入的數學背景，而是從開發人員的角度進行討論，展示了與加密使用相關的典型用例示例和實際考慮，例如公鑰基礎設施。介紹了安全通信的許多領域的安全協定，並深入討論了最廣泛使用的協定系列，例如 IPSEC 和 SSL/TLS。

討論了與某些加密演算法和加密協定相關的典型加密漏洞，例如 BEAST、CRIME、TIME、BREACH、FREAK、Logjam、Padding oracle、Lucky Thirteen、POODLE 等，以及 RSA 計時攻擊。在每種情況下，都會針對每個問題描述實際考慮和潛在後果，同樣，無需深入數學細節。

最後，由於 XML 技術是網路應用程式數據交換的核心，因此描述了 XML 的安全方面。這包括在 Web 服務和 SOAP 消息中使用 XML 以及 XML 簽名和 XML 加密等保護措施，以及這些保護措施中的弱點和 XML 特定的安全問題，例如 XML 注入、XML 外部實體 （XXE） 攻擊、XML 炸彈和 XPath 注入。

參加本課程的學員將

• 瞭解安全、IT 安全和安全編碼的基本概念
• 瞭解安全通信的要求
• 瞭解不同 OSI 層的網路攻擊和防禦
• 對密碼學有實際的瞭解
• 瞭解基本安全協定
• 瞭解最近針對加密系統的一些攻擊
• 獲取有關一些最近的相關漏洞的資訊
• 瞭解 Web 服務的安全概念
• 獲取有關安全編碼實踐的原始程式碼和進一步閱讀材料

觀眾

開發人員、專業人士

這個為期三天的課程涵蓋了保護C / C++代碼以防止可能利用內存管理和輸入處理利用代碼中的許多漏洞的惡意用戶的基礎知識，該課程涵蓋了編寫安全代碼的原則。

即使是有經驗的 Java 程式師也無法完全掌握 Java 提供的各種安全服務，同樣也不知道與用 Java 編寫的 Web 應用程式相關的不同漏洞。

該課程 - 除了介紹標準 Java 版的安全元件外 - 涉及 Java 企業版 （JEE） 和 Web 服務的安全問題。在討論特定服務之前，先介紹加密和安全通信的基礎。各種練習涉及 JEE 中的聲明式和編程式安全技術，同時討論了 Web 服務的傳輸層和端到端安全性。通過幾個實踐練習來介紹所有元件的使用，參與者可以親自嘗試所討論的 API 和工具。

本課程還介紹並解釋了 Java 語言和平臺最常見和最嚴重的程式設計缺陷以及與Web相關的漏洞。除了 Java 程式師犯下的典型錯誤外，引入的安全漏洞還涵蓋了特定於語言的問題和來自運行時環境的問題。所有漏洞和相關攻擊都通過易於理解的練習進行演示，然後是推薦的編碼指南和可能的緩解技術。

參加本課程的學員將

• 瞭解安全、IT 安全和安全編碼的基本概念
• 瞭解 OWASP Top 10 之後的 Web 漏洞，並知道如何避免它們
• 瞭解 Web 服務的安全概念
• 學習使用 Java 開發環境的各種安全功能
• 對密碼學有實際的瞭解
• 瞭解安全解決方案 Java EE
• 瞭解典型的編碼錯誤以及如何避免這些錯誤
• 獲取有關 Java 框架中一些最新漏洞的資訊
• 獲取有關使用安全測試工具的實用知識
• 獲取有關安全編碼實踐的原始程式碼和進一步閱讀材料

觀眾

開發人員

描述

Java語言和運行時環境（JRE）旨在擺脫其他語言（例如C / C++遇到的最常見的安全漏洞。然而，軟件開發人員和架構師不僅應該知道如何使用Java環境的各種安全功能（積極的安全性），還應該了解與Java開發相關的眾多漏洞（負面安全性）。

在介紹安全服務之前，先簡要概述密碼學的基礎，為理解適用組件的目的和操作提供一個共同的基線。通過幾個實踐練習介紹這些組件的使用，參與者可以自己嘗試討論的API。

本課程還介紹並解釋了Java語言和平台最常見和最嚴重的編程缺陷，包括Java程序員提出的典型錯誤以及特定於語言和環境的問題。所有漏洞和相關攻擊都通過易於理解的練習進行演示，然後是推薦的編碼指南和可能的緩解技術。

參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念
• 了解OWASP Top Ten之外的Web漏洞並知道如何避免它們
• 學習使用Java開發環境的各種安全功能
• 對密碼學有實際的了解
• 了解典型的編碼錯誤以及如何避免錯誤
• 獲取有關Java框架中最近一些漏洞的信息
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾

開發商

目前有許多編程語言可用於將代碼編譯到.NET和ASP.NET框架。環境提供了強大的安全開發手段，但開發人員應該知道如何應用體系結構和編碼級編程技術，以實現所需的安全功能，避免漏洞或限制其利用。

本課程的目的是通過大量實踐練習教授開發人員如何防止不受信任的代碼執行特權操作，通過強身份驗證和授權保護資源，提供遠程過程調用，處理會話，為某些功能引入不同的實現，以及許多更多。

引入不同的漏洞首先介紹使用.NET時提交的一些典型編程問題，而對ASP.NET漏洞的討論也涉及各種環境設置及其影響。最後，ASP.NET特定漏洞的主題不僅涉及一些常規Web應用程序安全性挑戰，還涉及特殊問題和攻擊方法，如攻擊ViewState或字符串終止攻擊。

參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念
• 了解OWASP Top Ten之外的Web漏洞並知道如何避免它們
• 學習使用.NET開發環境的各種安全功能
• 獲得使用安全測試工具的實用知識
• 了解典型的編碼錯誤以及如何避免錯誤
• 獲取有關.NET和ASP.NET中最近一些漏洞的信息
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾

開發商

本课程介绍了一些常见的安全概念，概述了无论使用何种编程语言和平台，漏洞的本质，并解释了在软件开发生命周期的各个阶段如何处理与软件安全相关的风险。在不深入技术细节的情况下，课程重点介绍了各种软件开发技术中最有趣和最令人头痛的漏洞，并展示了安全测试的挑战，以及一些可以应用于发现代码中现有问题的技术和工具。

参加本课程的学员将：

• 理解安全、IT安全和安全编码的基本概念
• 理解Web服务器端和客户端的漏洞
• 认识到不安全的缓冲区处理的严重后果
• 了解开发环境和框架中的一些最新漏洞
• 学习典型的编码错误及如何避免它们
• 理解安全测试的方法和方法论

受众

管理人员

該課程為 PHP 開發人員提供了必要的基本技能，以使其應用程式能夠抵禦通過 Internet 的現代攻擊。通過基於 PHP 的示例討論了 Web 漏洞，這些示例超出了 OWASP 前十名，解決了各種注入攻擊、腳本注入、針對 PHP 會話處理的攻擊、不安全的直接物件引用、檔上傳問題等等。PHP 相關的漏洞被歸類為標準漏洞類型，包括缺失或不正確的輸入驗證、不正確的錯誤和異常處理、安全功能的不當使用以及與時間和狀態相關的問題。對於後者，我們討論了諸如 open_basedir 規避、通過magic float拒絕服務或哈希表碰撞攻擊等攻擊。在所有情況下，參與者都將熟悉用於減輕入伍風險的最重要技術和功能。

特別關注用戶端安全性，解決 JavaScript、Ajax 和 HTML5 的安全問題。引入了許多與 PHP 相關的擴展，例如用於加密的 hash、mcrypt 和 OpenSSL，或用於輸入驗證的 Ctype、ext/filter 和 HTML Purifier。最好的強化實踐是與 PHP 配置（設置 php.ini）、Apache 和一般伺服器相關的。最後，概述了開發人員和測試人員可以使用的各種安全測試工具和技術，包括安全掃描器、滲透測試和漏洞利用包、嗅探器、代理伺服器、模糊工具和靜態原始碼分析器。

漏洞的引入和配置實踐都得到了許多動手練習的支持，這些練習演示了成功攻擊的後果，展示了如何應用緩解技術，並介紹了各種擴展和工具的使用。

參加本課程的學員將

• 瞭解安全、IT 安全和安全編碼的基本概念
• 瞭解 OWASP Top 10 之後的 Web 漏洞，並知道如何避免它們
• 瞭解用戶端漏洞和安全編碼實踐
• 對密碼學有實際的瞭解
• 學習使用 PHP 的各種安全功能
• 瞭解典型的編碼錯誤以及如何避免這些錯誤
• 瞭解 PHP 框架的最新漏洞
• 獲取有關使用安全測試工具的實用知識
• 獲取有關安全編碼實踐的原始程式碼和進一步閱讀材料

觀眾

開發人員

綜合 SDL 核心培訓通過 Microsoft 安全開發生命週期 (SDL) 深入探討安全軟件設計、開發和測試。該課程提供 SDL 基礎構建的 100 級概述，隨後介紹設計技術，以在開發過程的早期階段檢測和修復缺陷。

在處理開發階段時，課程概述了管理代碼和原生代碼中典型的安全相關編程錯誤。針對討論的漏洞，介紹了攻擊方法及相關的緩解技術，並通過一系列實踐練習為參與者提供即時黑客攻擊的樂趣。在介紹不同的安全測試方法後，演示了各種測試工具的有效性。參與者可以通過一系列實踐練習，將這些工具應用於已討論的易受攻擊的代碼，從而了解這些工具的操作。

參與本課程的學員將 

了解安全、IT 安全和安全編碼的基本概念

熟悉 Microsoft 安全開發生命週期的關鍵步驟

學習安全設計和開發實踐

了解安全實施原則

理解安全測試方法

• 獲取有關安全編碼實踐的來源和進一步閱讀資料

目標受眾

開發人員、經理

在熟悉漏洞和攻擊方法之後，參與者將瞭解安全測試的一般方法和方法，以及可用於揭示特定漏洞的技術。安全測試應從收集有關系統的資訊（ToC，即評估目標）開始，然後進行徹底的威脅建模，揭示所有威脅並對其進行評級，從而得出最合適的風險分析驅動測試計劃。

安全評估可以在 SDLC 的各個步驟進行，因此我們討論了設計審查、代碼審查、偵察和有關系統的資訊收集、測試實施以及測試和強化環境以實現安全部署。詳細介紹了許多安全測試技術，例如污點分析和基於啟發式的代碼審查、靜態代碼分析、動態 Web 漏洞測試或模糊測試。介紹了各種類型的工具，這些工具可用於自動對軟體產品進行安全評估，這也得到了許多練習的支援，我們在其中執行這些工具來分析已經討論過的易受攻擊的代碼。許多現實生活中的案例研究支援更好地瞭解各種脆弱性。

本課程使測試人員和QA人員能夠充分規劃和精確執行安全測試，選擇並使用最合適的工具和技術來發現隱藏的安全漏洞，從而提供可在第二天工作日應用的基本實踐技能。

參加本課程的學員將

• 瞭解安全、IT 安全和安全編碼的基本概念
• 瞭解 OWASP Top Ten 之後的 Web 漏洞，並知道如何避免它們
• 瞭解用戶端漏洞和安全編碼實踐
• 瞭解安全測試方法和方法
• 獲取有關使用安全測試技術和工具的實用知識
• 獲取有關安全編碼實踐的原始程式碼和進一步閱讀材料

觀眾

開發人員、測試人員

保護可通過Web訪問的應用程序需要精心準備的安全專業人員，他們始終了解當前的攻擊方法和趨勢。存在許多允許Web應用程序的舒適開發的技術和環境。人們不僅應該了解與這些平台相關的安全問題，還應該了解適用的所有常見漏洞，無論使用何種開發工具。

本課程概述了Web應用程序中適用的安全解決方案，特別關注理解要應用的最重要的加密解決方案。各種Web應用程序漏洞都出現在服務器端（遵循OWASP Top Ten）和客戶端，通過相關攻擊進行演示，然後是推薦的編碼技術和緩解方法，以避免相關問題。安全編碼的主題通過討論輸入驗證領域中的一些典型的安全相關編程錯誤，安全功能的不正確使用和代碼質量來完成。

測試在確保Web應用程序的安全性和健壯性方面起著非常重要的作用。可以應用各種方法 - 從高級審計到滲透測試再到道德黑客攻擊 - 來查找不同類型的漏洞。但是，如果您想要超越容易找到的低調成果，安全測試應該得到妥善規劃並妥善執行。請記住：安全測試人員應該理想地找到保護系統的所有錯誤，而對於攻擊者來說，找到一個可利用的漏洞就足以滲透到系統中。

實踐練習將有助於理解Web應用程序漏洞，編程錯誤以及最重要的緩解技術，以及從安全掃描程序，嗅探器，代理服務器，模糊測試工具到靜態源代碼分析器的各種測試工具的實際試用，本課程提供可在第二天在工作場所應用的基本實用技能。

參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念
• 了解OWASP Top Ten之外的Web漏洞並知道如何避免它們
• 了解客戶端漏洞和安全編碼實踐
• 對密碼學有實際的了解
• 了解安全測試方法和方法
• 掌握使用安全測試技術和工具的實用知識
• 了解各種平台，框架和庫中的最新漏洞
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾

開發人員，測試人員

在這個由講師指導的台灣現場課程中，參與者將學習如何制定適當的安全策略來應對DevOps安全挑戰。

本課程在台灣旨在幫助以下方面：

1. 幫助開發者掌握撰寫安全編碼的技巧
2. 幫助軟體測試人員在應用程式發佈到生產環境之前測試其安全性
3. 幫助軟體架構師了解應用程式周圍的風險
4. 幫助團隊領導者為開發者設定安全基準
5. 幫助網站管理員配置伺服器以避免錯誤配置

本課程通過開放式Web應用程序安全項目（ OWASP ）測試方法，介紹了Java的安全編碼概念和原理。 Open Web Application Security Project是一個在線社區，可以在Web應用程序安全性領域創建免費的文章，方法，文檔，工具和技術。

本課程通過開放式Web應用程序安全項目（ OWASP ）測試方法介紹了ASP.net的安全編碼概念和原理， OWASP是一個在線社區，可以在該領域創建免費的文章，方法，文檔，工具和技術。 Web應用程序安全性。

本課程探討了Dot Net Framework安全功能以及如何保護Web應用程序。