Secure Code培訓

Combined SDL核心培訓通過Microsoft安全開發生命週期（SDL）提供對安全軟件設計，開發和測試的深入了解。它提供了對SDL基本構建塊的100級概述，然後是設計技術，用於檢測和修復開發過程早期階段的缺陷。 處理開發階段，本課程概述了託管代碼和本機代碼的典型安全相關編程錯誤。針對所討論的漏洞以及相關的緩解技術提供了攻擊方法，所有這些都通過一些為參與者提供實時黑客樂趣的動手練習進行了解釋。介紹了不同的安全測試方法，然後展示了各種測試工具的有效性。通過將工具應用於已經討論過的易受攻擊的代碼，參與者可以通過一些實際練習來理解這些工具的操作。 參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念
• 了解Microsoft安全開發生命週期的基本步驟
• 學習安全的設計和開發實踐
• 了解安全實施原則
• 了解安全測試方法
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾開發人員，經理

這個為期三天的課程涵蓋了保護C / C++代碼以防止可能利用內存管理和輸入處理利用代碼中的許多漏洞的惡意用戶的基礎知識，該課程涵蓋了編寫安全代碼的原則。

描述 Java語言和運行時環境（JRE）旨在擺脫其他語言（例如C / C++遇到的最常見的安全漏洞。然而，軟件開發人員和架構師不僅應該知道如何使用Java環境的各種安全功能（積極的安全性），還應該了解與Java開發相關的眾多漏洞（負面安全性）。 在介紹安全服務之前，先簡要概述密碼學的基礎，為理解適用組件的目的和操作提供一個共同的基線。通過幾個實踐練習介紹這些組件的使用，參與者可以自己嘗試討論的API。 本課程還介紹並解釋了Java語言和平台最常見和最嚴重的編程缺陷，包括Java程序員提出的典型錯誤以及特定於語言和環境的問題。所有漏洞和相關攻擊都通過易於理解的練習進行演示，然後是推薦的編碼指南和可能的緩解技術。 參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念
• 了解OWASP Top Ten之外的Web漏洞並知道如何避免它們
• 學習使用Java開發環境的各種安全功能
• 對密碼學有實際的了解
• 了解典型的編碼錯誤以及如何避免錯誤
• 獲取有關Java框架中最近一些漏洞的信息
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾開發商

描述除了使用Java組件的紮實知識之外，即使對於經驗豐富的Java程序員，也必須深入了解服務器端和客戶端上與Web相關的漏洞，與Java編寫的Web應用程序相關的不同漏洞，以及各種風險。 通過呈現相關攻擊來演示基於Web的一般漏洞，而在Java的上下文中解釋推薦的編碼技術和緩解方法，其中最重要的目的是避免相關問題。此外，還特別關注客戶端安全性，以解決Java Script， Ajax和HTML 5的安全問題。 本課程介紹了標準Java版的安全組件，該組件之前是加密的基礎，為理解適用組件的用途和操作提供了一個共同的基線。所有組件的使用都是通過實踐練習呈現的，參與者可以自己試用所討論的API和工具。 最後，本課程解釋了Java語言和平台最常見和最嚴重的編程缺陷。除了Java程序員提供的典型錯誤之外，引入的安全漏洞還包括特定於語言的問題以及源自運行時環境的問題。所有漏洞和相關攻擊都通過易於理解的練習進行演示，然後是推薦的編碼指南和可能的緩解技術。 參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念
• 了解OWASP Top Ten之外的Web漏洞並知道如何避免它們
• 了解客戶端漏洞和安全編碼實踐
• 學習使用Java開發環境的各種安全功能
• 對密碼學有實際的了解
• 了解典型的編碼錯誤以及如何避免錯誤
• 獲取有關Java框架中最近一些漏洞的信息
• 獲得使用安全測試工具的實用知識
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾開發商

即使是經驗豐富的Java程序員也並不掌握Java提供的各種安全服務，同樣也不知道與使用Java編寫的Web應用程序相關的不同漏洞。 該課程除了引入標准Java版的安全組件外，還涉及Java企業版（JEE）和Web服務的安全問題。在密碼學和安全通信的基礎之前，討論具體的服務。各種練習涉及JEE中的聲明性和程序化安全技術，同時討論了傳輸層和端到端Web服務的安全性。所有組件的使用都通過幾個實踐練習來呈現，參與者可以在其中嘗試所討論的API和工具。 本課程還介紹了Java語言和平台以及與Web相關的漏洞的最常見和最嚴重的編程缺陷。除了Java程序員犯下的典型錯誤之外，引入的安全漏洞還涵蓋了源自運行時環境的語言特定問題和問題。所有漏洞和相關攻擊都通過簡單易懂的練習來演示，然後是推薦的編碼指南和可能的緩解技術。 參加本課程的學員將會理解安全性，IT安全性和安全編碼的基本概念了解OWASP Top Ten之外的Web漏洞並了解如何避免它們了解Web服務的安全性概念學習使用Java開發環境的各種安全特性對密碼學有實際的理解了解Java EE的安全解決方案了解典型的編碼錯誤以及如何避免它們獲取關于Java框架中最近的一些漏洞的信息獲得使用安全測試工具的實用知識獲取有關安全編碼實踐的資料和更多資料聽衆開發商

除了使用Java組件的豐富知識外，即使對于有經驗的Java程序員也是如此，因此深入了解服務器和客戶端的Web相關漏洞，與使用Java編寫的Web應用程序相關的不同漏洞以及各種風險。 通過展示相關攻擊來展示一般的基于web的漏洞，而推薦的編碼技術和緩解方法在Java的背景下進行了解釋，其中最重要的目標是避免相關的問題。此外，還特別關注客戶端安全性，解決JavaScript，Ajax和HTML5的安全問題。 本課程介紹了Standard Java Edition的安全組件，該組件提供了密碼學基礎，爲理解適用組件的目的和操作提供了一個共同基准。 Java企業版的安全問題通過各種練習來解釋，這些練習解釋了JEE中的聲明式和程序式安全技術。 最後，該課程解釋了Java語言和平台最常見和最嚴重的編程缺陷。除了Java程序員犯下的典型錯誤之外，引入的安全漏洞還涵蓋了源自運行時環境的語言特定問題和問題。所有漏洞和相關攻擊都通過簡單易懂的練習來演示，然後是推薦的編碼指南和可能的緩解技術。 參加本課程的學員將會理解安全性，IT安全性和安全編碼的基本概念了解OWASP Top Ten之外的Web漏洞並了解如何避免它們了解客戶端漏洞和安全編碼實踐學習使用Java開發環境的各種安全特性對密碼學有實際的理解了解Web服務的安全性概念了解Java EE的安全解決方案了解典型的編碼錯誤以及如何避免它們獲取關于Java框架中最近的一些漏洞的信息獲得使用安全測試工具的實用知識獲取有關安全編碼實踐的資料和更多資料聽衆開發商

目前有許多編程語言可用於將代碼編譯到.NET和ASP.NET框架。環境提供了強大的安全開發手段，但開發人員應該知道如何應用體系結構和編碼級編程技術，以實現所需的安全功能，避免漏洞或限制其利用。 本課程的目的是通過大量實踐練習教授開發人員如何防止不受信任的代碼執行特權操作，通過強身份驗證和授權保護資源，提供遠程過程調用，處理會話，為某些功能引入不同的實現，以及許多更多。 引入不同的漏洞首先介紹使用.NET時提交的一些典型編程問題，而對ASP.NET漏洞的討論也涉及各種環境設置及其影響。最後，ASP.NET特定漏洞的主題不僅涉及一些常規Web應用程序安全性挑戰，還涉及特殊問題和攻擊方法，如攻擊ViewState或字符串終止攻擊。 參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念
• 了解OWASP Top Ten之外的Web漏洞並知道如何避免它們
• 學習使用.NET開發環境的各種安全功能
• 獲得使用安全測試工具的實用知識
• 了解典型的編碼錯誤以及如何避免錯誤
• 獲取有關.NET和ASP.NET中最近一些漏洞的信息
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾開發商

目前有許多編程語言可用於將代碼編譯到.NET和ASP.NET框架。環境提供了強大的安全開發手段，但開發人員應該知道如何應用體系結構和編碼級編程技術，以實現所需的安全功能，避免漏洞或限制其利用。 本課程的目的是通過大量實踐練習教授開發人員如何防止不受信任的代碼執行特權操作，通過強身份驗證和授權保護資源，提供遠程過程調用，處理會話，為某些功能引入不同的實現，以及許多更多。一個特殊部分專門用於配置和強化.NET和ASP.NET環境以確保安全性。 對密碼學基礎的簡要介紹為理解各種算法的目的和操作提供了一個通用的實用基礎，基於該基礎，該課程提供了可在.NET中使用的加密功能。隨後引入了一些最近的加密漏洞，這些漏洞既與某些加密算法和加密協議有關，也與旁道攻擊有關。 引入不同的漏洞首先要介紹使用.NET時提交的一些典型編程問題，包括輸入驗證，錯誤處理或競爭條件的錯誤類別。特別關注XML安全性，而ASP.NET特定漏洞的主題解決了一些特殊問題和攻擊方法：如攻擊ViewState或字符串終止攻擊。 參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念
• 學習使用.NET開發環境的各種安全功能
• 對密碼學有實際的了解
• 了解最近針對密碼系統的一些攻擊
• 獲取有關.NET和ASP.NET中最近一些漏洞的信息
• 了解典型的編碼錯誤以及如何避免錯誤
• 獲得使用安全測試工具的實用知識
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾開發商

除了使用NET和ASPNET的各種安全特性方面的豐富知識外，即使對于有經驗的程序員也是如此，因此深入了解服務器端和客戶端的Web相關漏洞以及各種風險的後果至關重要。 在本課程中，通過介紹相關攻擊來演示一般的基于Web的漏洞，而在ASPNET的上下文中解釋推薦的編碼技術和緩解方法。客戶端安全性特別關注解決JavaScript，Ajax和HTML5的安全問題。 該課程還涉及NET框架的安全體系結構和組件，包括基于代碼和角色的訪問控制，權限聲明和檢查機制以及透明度模型。對密碼學基礎的簡要介紹爲理解各種算法的目的和操作提供了一個通用的實用基准，在此基礎上，課程介紹了可用于NET的密碼學特性。 引入不同的安全漏洞，遵循完善的漏洞類別，處理輸入驗證，安全特性，錯誤處理，時間和狀態相關問題，一組通用代碼質量問題以及關于ASPNET特定漏洞的特殊部分。這些主題總結了測試工具的概述，可用于自動揭示一些已知的錯誤。 主題通過實踐練習呈現，參與者可以嘗試某些漏洞，緩解措施的後果以及所討論的API和工具。 參加本課程的學員將會理解安全性，IT安全性和安全編碼的基本概念了解OWASP Top Ten之外的Web漏洞並了解如何避免它們了解客戶端漏洞和安全編碼實踐學習使用NET開發環境的各種安全特性對密碼學有實際的理解獲取有關NET和ASPNET中一些最新漏洞的信息獲得使用安全測試工具的實用知識了解典型的編碼錯誤以及如何避免它們獲取有關安全編碼實踐的資料和更多資料聽衆開發商

保護可通過Web訪問的應用程序需要精心準備的安全專業人員，他們始終了解當前的攻擊方法和趨勢。存在許多技術和環境，允許Web應用程序的舒適開發（如Java ，ASP.NET或PHP ，以及客戶端的Java腳本或Ajax ）。人們不僅應該了解與這些平台相關的安全問題，還應該了解適用的所有常見漏洞，無論使用何種開發工具。 本課程概述了Web應用程序中適用的安全解決方案，重點關注安全通信和Web服務等最重要的技術，解決傳輸層安全性和端到端安全解決方案以及Web Services安全性和XML等標準。它還簡要概述了典型的編程錯誤，最重要的是與丟失或不正確的輸入驗證有關。 通過呈現相關攻擊來演示基於Web的漏洞，同時解釋推薦的編碼技術和緩解方法以避免相關問題。程序員可以使用不同的編程語言輕鬆地進行練習，因此與Web應用程序相關的主題可以輕鬆地與其他安全編碼主題相結合，從而可以有效地滿足通常處理各種語言和開發平台的企業開發團隊的需求。開發Web應用程序。 參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念
• 了解OWASP Top Ten之外的Web漏洞並知道如何避免它們
• 了解客戶端漏洞和安全編碼實踐
• 對密碼學有實際的了解
• 了解Web服務的安全性概念
• 獲得使用安全測試工具的實用知識
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾開發商

熟悉這些漏洞和攻擊方法後，參與者將了解安全測試的一般方法和方法，以及可用于揭示特定漏洞的技術。安全測試應該從收集有關系統的信息開始（ToC，即評估目標），然後全面的威脅建模應該揭示並評估所有威脅，並得出最適合的風險分析驅動測試計劃。 安全評估可以在SDLC的各個步驟中進行，因此我們將討論設計評審，代碼評審，系統偵察和信息收集，測試實施和測試以及強化環境以實現安全部署。詳細介紹了許多不同的安全測試技術，如汙點分析和基于啓發式的代碼審查，靜態代碼分析，動態Web漏洞測試或模糊測試。引入了各種類型的工具，可以用于自動化軟件産品的安全評估，這也得到了許多練習的支持，在這些練習中，我們執行這些工具來分析已經討論過的易受攻擊的代碼。許多真實案例研究支持更好地理解各種漏洞。 本課程爲測試人員和QA人員准備充分的計劃和准確執行安全測試，選擇和使用最合適的工具和技術來發現隱藏的安全缺陷，從而提供必要的實用技能，以便在第二天的工作日內應用。 參加本課程的學員將會理解安全性，IT安全性和安全編碼的基本概念了解OWASP Top Ten之外的Web漏洞並了解如何避免它們了解客戶端漏洞和安全編碼實踐了解安全測試方法和方法獲得使用安全測試技術和工具的實用知識獲取有關安全編碼實踐的資料和更多資料聽衆開發人員，測試人員

保護可通過Web訪問的應用程序需要精心準備的安全專業人員，他們始終了解當前的攻擊方法和趨勢。存在許多允許Web應用程序的舒適開發的技術和環境。人們不僅應該了解與這些平台相關的安全問題，還應該了解適用的所有常見漏洞，無論使用何種開發工具。 本課程概述了Web應用程序中適用的安全解決方案，特別關注理解要應用的最重要的加密解決方案。各種Web應用程序漏洞都出現在服務器端（遵循OWASP Top Ten）和客戶端，通過相關攻擊進行演示，然後是推薦的編碼技術和緩解方法，以避免相關問題。安全編碼的主題通過討論輸入驗證領域中的一些典型的安全相關編程錯誤，安全功能的不正確使用和代碼質量來完成。 測試在確保Web應用程序的安全性和健壯性方面起著非常重要的作用。可以應用各種方法 - 從高級審計到滲透測試再到道德黑客攻擊 - 來查找不同類型的漏洞。但是，如果您想要超越容易找到的低調成果，安全測試應該得到妥善規劃並妥善執行。請記住：安全測試人員應該理想地找到保護系統的所有錯誤，而對於攻擊者來說，找到一個可利用的漏洞就足以滲透到系統中。 實踐練習將有助於理解Web應用程序漏洞，編程錯誤以及最重要的緩解技術，以及從安全掃描程序，嗅探器，代理服務器，模糊測試工具到靜態源代碼分析器的各種測試工具的實際試用，本課程提供可在第二天在工作場所應用的基本實用技能。 參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念
• 了解OWASP Top Ten之外的Web漏洞並知道如何避免它們
• 了解客戶端漏洞和安全編碼實踐
• 對密碼學有實際的了解
• 了解安全測試方法和方法
• 掌握使用安全測試技術和工具的實用知識
• 了解各種平台，框架和庫中的最新漏洞
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾開發人員，測試人員

本課程爲PHP開發人員提供必要的技能，使他們的應用程序能夠抵禦通過Internet進行的當前攻擊。通過基于PHP的示例討論Web漏洞，這些示例超越了OWASP前十名，解決了各種注入攻擊，腳本注入，PHP會話處理攻擊，不安全的直接對象引用，文件上傳問題等等。將PHP相關漏洞分組爲標准漏洞類型，包括丟失或不正確的輸入驗證，不正確的錯誤和異常處理，不正確使用安全功能以及時間和狀態相關問題。對于後者，我們討論像open_basedir規避，通過魔術浮動的拒絕服務或散列表碰撞攻擊等攻擊。在所有情況下，參與者將熟悉用于減輕入伍風險的最重要的技術和職能。 客戶端安全性特別關注解決JavaScript，Ajax和HTML5的安全問題。引入了許多與PHP相關的安全相關擴展，如散列，用于加密的mcrypt和OpenSSL，用于輸入驗證的Ctype，ext / filter和HTML Purifier。強化最佳實踐與PHP配置（設置phpini），Apache和服務器有關。最後，概述了開發人員和測試人員可以使用的各種安全測試工具和技術，包括安全掃描器，滲透測試和漏洞利用包，嗅探器，代理服務器，模糊工具和靜態源代碼分析器。 通過一系列演示成功攻擊後果的簡單練習支持漏洞引入和配置實踐，展示如何應用緩解技術並介紹各種擴展和工具的使用。 參加本課程的學員將會理解安全性，IT安全性和安全編碼的基本概念了解OWASP Top Ten之外的Web漏洞並了解如何避免它們了解客戶端漏洞和安全編碼實踐對密碼學有實際的理解學習使用PHP的各種安全特性了解典型的編碼錯誤以及如何避免它們了解最新的PHP框架漏洞獲得使用安全測試工具的實用知識獲取有關安全編碼實踐的資料和更多資料聽衆開發商

爲了以最好的方式服務于在日常工作中同時使用各種平台的異構開發團隊，我們將各種主題合並爲一個綜合課程，在單個培訓活動中以教學方式呈現各種安全編碼主題。本課程結合了C / C ++和Java平台安全性，提供了廣泛的跨平台安全編碼專業知識。 關于C / C ++，討論了常見安全漏洞，並討論了利用這些漏洞的攻擊方法的實踐練習，重點討論了可用于防止這些危險漏洞發生的緩解技術，在市場推出之前檢測它們或防止他們的剝削。 Java的安全組件和服務通過一系列實踐練習介紹不同的API和工具進行討論，參與者可以在這些練習中獲得使用經驗。該課程還涵蓋了Web服務和相關Java服務的安全問題，這些服務可用于防止基于Internet的服務出現最嚴重的威脅。最後，易于理解的練習演示了Web和Java相關的安全漏洞，這些漏洞不僅顯示了問題的根源，還演示了攻擊方法以及推薦的緩解和編碼技術，以避免相關的安全問題。 參加本課程的學員將會理解安全性，IT安全性和安全編碼的基本概念了解OWASP Top Ten之外的Web漏洞並了解如何避免它們了解客戶端漏洞和安全編碼實踐學習使用Java開發環境的各種安全特性對密碼學有實際的理解實現不安全緩沖區處理的嚴重後果了解建築保護技術及其弱點了解典型的編碼錯誤以及如何避免它們了解各種平台，框架和庫中最近的漏洞獲取有關安全編碼實踐的資料和更多資料聽衆開發商

使用托管代碼（通常用C＃編寫的NET和ASPNET）和本機代碼開發（通常爲C / C ++）的服務團隊，此培訓全面概述了這兩種環境中的安全問題。 關于C / C ++，討論了常見安全漏洞，並討論了利用這些漏洞的攻擊方法的實踐練習，重點討論了可用于防止這些危險漏洞發生的緩解技術，在市場推出之前檢測它們或防止他們的剝削。 該課程還涵蓋了各種常規（如Web服務）和特定的安全解決方案和工具，以及托管代碼中最常見和最嚴重的安全漏洞，它們處理語言特定問題和源自運行時環境的問題。與ASPNET平台相關的漏洞以及OWASP Top Ten列表中的一般網絡相關漏洞詳細描述。該課程包含許多練習，參與者可以通過該練習輕松理解並執行攻擊和保護方法。 參加本課程的學員將會理解安全性，IT安全性和安全編碼的基本概念了解OWASP Top Ten之外的Web漏洞並了解如何避免它們了解客戶端漏洞和安全編碼實踐學習使用NET開發環境的各種安全特性對密碼學有實際的理解獲取有關NET和ASPNET中一些最新漏洞的信息在本地代碼中實現不安全緩沖區處理的嚴重後果了解建築保護技術及其弱點了解典型的編碼錯誤以及如何避免它們獲得使用安全測試工具的實用知識獲取有關安全編碼實踐的資料和更多資料聽衆開發商

即使是經驗豐富的程序員也不會完全掌握其開發平台提供的各種安全服務，同樣也不了解與其開發相關的不同漏洞。本課程面向使用Java和PHP開發人員，為他們提供必要的必要技能，使他們的應用程序能夠抵禦通過Internet的當代攻擊。 通過處理訪問控制，身份驗證和授權，安全通信和各種加密功能，可以了解Java安全體系結構的各個層次。還引入了各種API，可用於保護PHP的代碼，例如用於加密的OpenSSL或用於輸入驗證的HTML Purifier。在服務器端，給出了加強和配置操作系統，Web容器，文件系統， SQL服務器和PHP本身的最佳實踐，同時通過Java Script的安全性問題特別關注客戶端安全性。 ， Ajax和HTML 5。 通過與OWASP Top Ten對齊的示例討論常規Web漏洞，顯示各種注入攻擊，腳本注入，對會話處理的攻擊，不安全的直接對象引用，文件上載問題以及許多其他問題。引入了源自運行時環境的各種Java和PHP特定語言問題和問題，分為缺少或不正確的輸入驗證的標準漏洞類型，安全功能的不當使用，錯誤的錯誤和異常處理，時間和狀態相關問題，代碼質量問題和移動代碼相關的漏洞。 參與者可以自己嘗試討論的API，工具和配置效果，同時通過大量實踐練習支持漏洞的引入，演示成功攻擊的後果，展示如何糾正錯誤並應用緩解技術，並介紹各種擴展和工具的使用。 參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念
• 了解OWASP Top Ten之外的Web漏洞並知道如何避免它們
• 了解客戶端漏洞和安全編碼實踐
• 學習使用Java開發環境的各種安全功能
• 對密碼學有實際的了解
• 學習使用PHP各種安全功能
• 了解Web服務的安全性概念
• 獲得使用安全測試工具的實用知識
• 了解典型的編碼錯誤以及如何避免錯誤
• 了解Java和PHP框架和庫中的最新漏洞
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾開發商

除了使用應用技術的安全解決方案的紮實知識之外，即使是有經驗的程序員，也必須深入了解由於各種漏洞（即安全相關的編程錯誤）而可能出現的典型攻擊技術。本課程從攻擊技術的角度來看待安全編碼，但其目的與S CAD EMY安全編碼學院的其他課程相同：學習軟件安全最佳實踐。 通過呈現相關攻擊來演示基於Web的一般漏洞，同時解釋推薦的編碼技術和緩解方法，其中最重要的目的是避免相關問題。除了服務器端問題（基本上遵循OWASP Top Ten），還特別關注客戶端安全性，解決Java Script， Ajax和HTML 5的安全問題，然後討論Web服務和XML安全性。對密碼學基礎的簡要介紹為理解各種算法的目的和操作提供了一個通用的實用基線。 特別是對於C和C++ ，我們將詳細介紹如何利用堆棧和堆上的緩衝區溢出。在展示了攻擊技術之後，我們概述了可以應用於不同級別（硬件組件，操作系統，編程語言，編譯器，源代碼或生產中）的實用保護方法，以防止出現各種錯誤，在開發期間和市場推出之前檢測它們，或防止它們在系統運行期間被利用。最後，我們討論反擊，然後是反保護措施，強調黑客和保護的貓捉老鼠的性質。 最後，本課程通過Java ，.NET，C和C++語言和平台中的示例解釋了最常見和最嚴重的編程缺陷。除了程序員提出的典型錯誤之外，引入的安全漏洞還包括特定於語言的問題以及源自運行時環境或使用的庫的問題。所有漏洞和相關攻擊都通過易於理解的練習進行演示，然後是推薦的編碼指南和可能的緩解技術。 最後，我們提出了可用於揭示討論的漏洞的安全測試技術和工具，以及用於偵察，配置和加強環境的各種技術。 參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念
• 了解OWASP Top Ten之外的Web漏洞並知道如何避免它們
• 了解客戶端漏洞和安全編碼實踐
• 了解Web服務的安全性概念
• 對密碼學有實際的了解
• 意識到不安全緩衝區處理的嚴重後果
• 了解架構保護技術及其弱點
• 了解典型的編碼錯誤以及如何利用它們
• 了解各種平台，框架和庫中的最新漏洞
• 學習基本的漏洞分析和測試技術和工具
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾開發商

Android是一款面向移動設備（如手機和平板電腦）的開放平台。它具有多種安全功能，可以更輕鬆地開發安全軟件;但是，它也缺少其他手持平台中存在的某些安全方面。本課程全面概述了這些功能，並指出了與底層Linux ，文件系統和環境相關的最重要的缺點，以及使用權限和其他Android軟件開發組件。 本機代碼和Java應用程序都描述了典型的安全隱患和漏洞，以及避免和減輕它們的建議和最佳實踐。在許多情況下，現實生活中的例子和案例研究都支持討論過的問題。最後，我們簡要概述瞭如何使用安全測試工具來揭示任何與安全相關的編程錯誤。 參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念
• 了解Android上的安全解決方案
• 學習使用Android平台的各種安全功能
• 獲取有關Android Java最近一些漏洞的信息
• 了解典型的編碼錯誤以及如何避免錯誤
• 了解Android上的本機代碼漏洞
• 實現本機代碼中不安全緩衝區處理的嚴重後果
• 了解架構保護技術及其弱點
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾專業人士

遷移到雲在效率和成本方面為公司和個人帶來了巨大的好處。在安全性方面，影響是多種多樣的，但人們普遍認為使用雲服務會以積極的方式影響安全性。然而，即使在確定誰負責確保云資源的安全性方面，意見也會多次分歧。 涵蓋IaaS，PaaS和SaaS，首先討論基礎架構的安全性：強化和配置問題以及身份管理的各種身份驗證和授權解決方案，這些解決方案應該是所有安全架構的核心。接下來是關於法律和合同問題的一些基礎知識，即如何在雲中建立和管理信任。 通過雲安全的過程將繼續了解特定於雲的威脅以及攻擊者的目標和動機，以及針對雲解決方案採取的典型攻擊步驟。還特別關注審計雲並提供各級雲解決方案的安全評估，包括滲透測試和漏洞分析。 本課程的重點是應用程序安全問題，處理數據安全性和應用程序本身的安全性。從應用程序安全性的角度來看，雲計算安全性與一般軟件安全性沒有太大差別，因此基本上所有OWASP列入的漏洞在該領域也是相關的。正是這組威脅和風險產生了不同，因此通過列舉與預先討論的弱點相關的各種雲特定攻擊向量來結束訓練。 參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念
• 了解雲域中的主要威脅和風險
• 了解基本的雲安全解決方案
• 獲取有關雲的信任和治理的信息
• 對密碼學有實際的了解
• 獲得有關雲中應用程序安全性的廣泛知識
• 了解OWASP Top Ten之外的Web漏洞並知道如何避免它們
• 了解審計和評估雲系統的安全性所面臨的挑戰
• 了解如何保護雲環境和基礎架構
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾開發人員，經理，專業人士

即使對於可能事先使用過各種加密構建塊（例如加密和數字簽名）的開發人員來說，實現安全的網絡應用程序也很困難。為了使參與者理解這些加密原語的作用和用法，首先給出了安全通信的主要要求的堅實基礎 - 安全確認，完整性，機密性，遠程識別和匿名性 - 同時還提出了典型的問題，可能會破壞這些要求以及現實世界的解決方案。 作為網絡安全的一個關鍵方面是密碼學，還討論了對稱密碼學，散列，非對稱密碼學和密鑰協商中最重要的密碼算法。這些元素不是提供深入的數學背景，而是從開發人員的角度討論，顯示典型的用例示例和與加密使用相關的實際考慮因素，例如公鑰基礎結構。介紹了許多安全通信領域的安全協議，並對最廣泛使用的協議系列（如IPSEC和SSL / TLS）進行了深入討論。 討論了與某些加密算法和加密協議相關的典型加密漏洞，例如BEAST，CRIME，TIME，BREACH，FREAK，Logjam，Padding oracle，Lucky Thirteen，POODLE等，以及RSA定時攻擊。在每種情況下，都會針對每個問題描述實際考慮因素和潛在後果，同樣不需要深入研究數學細節。 最後，由於XML技術是網絡應用程序進行數據交換的核心，因此描述了XML的安全性方面。這包括在Web服務和SOAP消息中使用XML以及XML簽名和XML加密等保護措施 - 以及這些保護措施和XML特定安全問題（如XML注入， XML外部實體（XXE）攻擊）中的弱點， XML炸彈和XPath注入。 參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念
• 了解安全通信的要求
• 了解不同OSI層的網絡攻擊和防禦
• 對密碼學有實際的了解
• 了解基本的安全協議
• 了解最近針對密碼系統的一些攻擊
• 獲取有關最近相關漏洞的信息
• 了解Web服務的安全性概念
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾開發人員，專業人士

本課程介紹了一些常見的安全概念，概述了漏洞的性質，而不考慮所使用的編程語言和平台，並解釋了如何處理軟件開發生命周期各個階段有關軟件安全性的風險。在不深入研究技術細節的情況下，它強調了各種軟件開發技術中最有趣和最令人畏懼的漏洞，並介紹了安全測試所面臨的挑戰，以及可應用于查找代碼中存在的任何問題的一些技術和工具。 參加本課程的學員將會理解安全性，IT安全性和安全編碼的基本概念了解服務器和客戶端的Web漏洞實現不安全緩沖區處理的嚴重後果了解開發環境和框架中最近的一些漏洞了解典型的編碼錯誤以及如何避免它們了解安全測試方法和方法聽衆經理

作為開發人員，您的職責是編寫防彈代碼。 如果我們告訴你，儘管你付出了很多努力，但是你在整個職業生涯中編寫的代碼充滿了你從未知道的弱點？如果你正在讀這篇文章，黑客試圖闖入你的代碼怎麼辦？他們成功的可能性有多大？如果他們可以竊取您的數據庫並將其在黑市上出售，該怎麼辦？ 此Web應用程序安全性課程將改變您查看代碼的方式。這是一次實踐訓練，在此期間我們會教你所有攻擊者的技巧以及如何減輕它們，讓你沒有別的感覺而不是想要了解更多。 您可以選擇領先一步，並將其視為打擊網絡犯罪的遊戲規則改變者。 出席會議的代表將：

• 了解安全性，IT安全性和安全編碼的基本概念
• 了解OWASP Top Ten之外的Web漏洞並知道如何避免它們
• 了解客戶端漏洞和安全編碼實踐
• 了解Node.js安全性
• 了解MongoDB安全性
• 對密碼學有實際的了解
• 了解基本的安全協議
• 了解Web服務的安全性概念
• 了解JSON安全性
• 掌握使用安全測試技術和工具的實用知識
• 了解如何處理已使用的平台，框架和庫中的漏洞
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

After the major attacks against national infrastructures, Security Professionals found that the majority of the vulnerabilities that caused the attacks came from poor and vulnerable code that the developers write.  Developers now need to master the techniques of how to write Secure Code, because we are in a situation where anyone can use availble tools to write a script that can effectivly disable a large organization's systems because the developers have written poor code. This Course aims to help in the following:

1. Help Developers to master the techniques of writing Secure Code
2. Help Software Testers to test the security of the application before publishing to the production environment
3. Help Software Architects to understand the risks surrounding the applications
4. Help Team Leaders to set the security base lines for the developers
5. Help Web Masters to configure the Servers to avoid miss-configurations

In this course you will also see details of the latest cyber attacks that have been used and the countermeasures used to stop and prevent these attacks. You will see for yourself how developers mistakes led to catastrophic attacks, and by participatig in the labs during the course you will be able to put into practise the security controls and gain the experience and knowledge to produce secure coding. Who should Attend this Course?  This Secure Code Training is ideal for those working in positions such as, but not limited to:

• Web Developers
• Mobile Developers
• Java Developers
• Dot Net Developers
• Software Architects
• Software Tester
• Security Professionals
• Web Masters

DevOps是一種軟件開發方法，可將應用程序開發與IT操作相結合。為支持DevOps而出現的一些工具包括：自動化工具，容器化和編排平台。安全無法跟上這些發展。 在這個由講師指導的實時課程中，參與者將學習如何制定適當的安全策略以應對DevOps安全挑戰。 課程形式

• 互動講座和討論。
• 大量的練習和練習。
• 在實時實驗室環境中親自實施。

課程自定義選項

• 要申請本課程的定制培訓，請聯繫我們安排。

This instructor-led, live training in 台灣 introduces the system architectures, operating systems, networking, storage, and cryptographic issues that should be considered when designing secure embedded systems. By the end of this course, participants will have a solid understanding of security principles, concerns, and technologies. More importantly, participants will be equipped with the techniques needed for developing safe and secure embedded software.

交互式應用程序安全性測試（IAST）是一種應用程序安全性測試形式，它結合了靜態應用程序安全性測試（SAST）和動態應用程序安全性測試（DAST）或運行時應用程序自我保護（RASP）技術。 IAST能夠報告負責安全漏洞的特定代碼行，並重放導致此類漏洞利用的行為。 在這個由講師指導的實時培訓中，參與者將學習如何通過檢測運行時代理和攻擊誘導器來模擬攻擊期間的應用程序行為來保護應用程序。 在培訓結束時，參與者將能夠：

• 模擬對應用程序的攻擊並驗證其檢測和保護功能
• 使用RASP和DAST獲取應用程序在不同運行時方案下所採用的數據路徑的代碼級可見性
• 快速準確地修復負責檢測到的漏洞的應用程序代碼
• 優先考慮動態掃描中的漏洞發現
• 使用RASP實時警報來保護生產中的應用程序免受攻擊。
• 在維護生產計劃目標的同時降低應用程序漏洞風險
• 制定整體漏洞檢測和保護的綜合戰略

聽眾

• DevOps工程師
• 安全工程師
• 開發商

課程形式

• 部分講座，部分討論，練習和繁重的實踐練習

Apache Shiro是一個功能強大的Java安全框架，可執行身份驗證，授權，加密和會話管理。 在這個有指導意義的現場培訓中，參與者將學習如何使用Apache Shiro保護Web應用程序。 在培訓結束後，參與者將能夠： 使用Shiro的API來保護各種類型的應用程序，包括移動，Web和企業啓用來自各種數據源的登錄，包括LDAP，JDBC，Active Directory等。 聽衆 開發商安全工程師 課程的格式 部分講座，部分討論，練習和沈重的練習

本課程通過開放式Web應用程序安全項目（ OWASP ）測試方法，介紹了Java的安全編碼概念和原理。 Open Web Application Security Project是一個在線社區，可以在Web應用程序安全性領域創建免費的文章，方法，文檔，工具和技術。

This course covers the secure coding concepts and principals with ASP.net through the Open Web Application Security Project (OWASP) methodology of testing , OWASP is an online community which creates freely-available articles, methodologies, documentation, tools, and technologies in the field of web application security.  This Course explores the Dot Net Framework Security features and how to secure web applications.   
    
    
    
    
    

本課程將幫助專業人員了解應用程序安全性的價值和限制。雖然應用程序安全主體提供了有關當今應用程序中某些主要風險的寶貴意識，但本課程將突出顯示好的和不太好的。 該課程至關重要，因為開發人員越來越需要以安全的方式進行編碼。將安全性作為質量組件引入開發週期至關重要。本課程旨在通過使用我們專門開發的不安全Web應用程序的實踐練習，向開發人員介紹各種安全漏洞。