创建安全的Java/J2EE Web应用代码培训

培训目标：

了解安全有哪些层次，哪些代码和安全， 什么样的代码，会引起什么样的安全风险 如何检测并记录这些代码安全问题 如何通过安全的代码，避免这些安全风险， 当风险发生的时候，如何处理 执行安全编码原则和方法 执行输入验证 执行输出验证 错误和失败的安全 深度防御 小心处理敏感数据 划分或者分组处理用户、数据和进程 遵循账户管理策略 遵循审计和日志策略 实现最小特权原则 保持开发简单的设计 限制应用的入口点 不要自我发明 不要泄露太多的信息 了解如何建立： 安全问题列表 安全检测方法列表 安全防范措施列表

培训内容：

安全编码概览 安全有哪些层次，哪些代码和安全， 什么样的代码，会引起什么样的安全风险 如何检测并记录这些代码安全问题 如何通过安全的代码，避免这些安全风险， 当风险发生的时候，如何处理， 分析软件安全越来越严重的 原因和根源 为什么软件安全问题日益增长 黑客攻击方式的进化 传统的分层保护方案减轻系统的风险 为什么传统的基于网络的方案不工作 黑客可直接痛过攻击软件达到窃取商业信息和破坏应用系统。 演示如何利用软件自身的弱点达到攻击系统。 软件需要保护它们自己 传统学校关于安全技术的教育 软件补丁和软件安全攻击的关系 软件安全问题的根源。 风险管理与安全保护 风险的定义 攻击与威胁的定义 安全漏洞的定义 应对安全威胁的手段 国际安全组织对应用安全的一些法案和规定 Web应用安全开发指导概述 安全Web应用的目的 安全漏洞与网络、主机和应用软件的关系 Web应用的安全范围 Web应用威胁与应对措施概述 Web应用安全的核心要素 OWASP对web应用安全的风险规定 Web应用安全的13条安全编码最佳实践原则概述 Web安全检测方法 常见的安全入侵类型 安全的检测特征和方法 安全检测工具和漏洞描述规范 安全的报告视图 编写J2EE Web应用安全代码的最佳实践原则和策略 执行输入验证 什么是输入验证 为什么输入验证是必要 输入来源 输入验证漏洞的主要类型及修复建议 输入验证技术 输入验证总结 参考读物 执行输出验证 什么是输出验证 为什么输出验证是必要 何时进行输出验证 与输出验证相关的安全漏洞 验证输出技术 输出验证总结 参考读物 错误和失败的安全 什么是错误处理 为什么错误处理是必要的 何时错误处理不起作用 预防方法 深度防御 深度防范的介绍 当只有单层防范时，会发生什么。 深度防范如何发挥作用 小心处理敏感数据 敏感数据介绍 国际标准对敏感数据处理的一些规定 安全处理敏感数据的技术 划分或者分组处理用户、 数据和进程 划分或者分组介绍 数据分离 用户分离 进程分离 划分数据、用户和进程 遵循账户管理策略 帐户管理和帐户管理策略 账户管理和国际适应性标准 帐户管理和遵守标准 帐户管理最佳方案 遵循审计和日志策略 审计和日志介绍 审计和日志最佳实践 实现最小特权原则 最小权限原则介绍 不遵循最小权限原则的隐患 如何实现最小权限原则 保持开发简单的设计 隐式安全问题 保持设计简单 限制应用的入口点 介绍限制应用入口点的介绍 攻击面和最小暴露原则 不要自我发明 介绍自我发明的概念 自我发明的危险 如何避免自我发明 不要泄露太多的信息 披露多余信息的问题 披露敏感信息 平衡安全性和可用性 攻击者如何利用信息 信息披露的常见例子 信息最小披露原则 安全编码回顾 安全编码原则回顾 安全问题列表 安全检测方法列表 安全防范措施列表

如果您想学习本课程，请预约报名
如果没找到合适的课程或有特殊培训需求，请订制培训
除培训外，同时提供相关技术咨询与技术支持服务，有需求请发需求表到邮箱soft@info-soft.cn,或致电4007991916
技术服务需求表点击在线申请

服务特点：
海量专家资源，精准匹配相关行业，相关项目专家，针对实际需求，顾问式咨询，互动式授课，案例教学，小班授课，实际项目演示，快捷高效，省时省力省钱。

专家力量：
中国科学院软件研究所，计算研究所高级研究人员
oracle,微软，vmware，MSC,Ansys，candence,Altium,达索等大型公司高级工程师，项目经理，技术支持专家
中科信软培训中心，资深专家或讲师
大多名牌大学，硕士以上学历，相关技术专业，理论素养丰富
多年实际项目经历，大型项目实战案例，热情，乐于技术分享
针对客户实际需求，案例教学，互动式沟通，学有所获

 点击进入报名表

咨询电话：010-62883247

                4007991916

咨询邮箱：soft@info-soft.cn  

 

微信咨询 随时听讲课 聚焦技术实践