Microsoft SDL Coreのトレーニングコース

この3日間のコースでは、メモリ管理と入力処理を使用してコード内の多くの脆弱性を悪用する可能性がある悪意のあるユーザーに対してC / C++コードをセキュリティで保護するための基本を扱います。

説明

Java言語とRuntime Environment（JRE）は、C / C++ような他の言語で経験されている最も問題の多い一般的なセキュリティの脆弱性から解放されるように設計されています。しかし、ソフトウェア開発者や設計者は、 Java環境のさまざまなセキュリティ機能の使い方（ポジティブセキュリティ）だけでなく、 Java開発にまだ関連している多数の脆弱性（ネガティブセキュリティ）についても知っておく必要があります。

セキュリティサービスの紹介の前に、暗号化の基礎の概要を概説し、適用可能なコンポーネントの目的と動作を理解するための共通のベースラインを提供します。これらのコンポーネントの使い方は、参加者が議論されたAPIを自分で試すことができるいくつかの実践的な演習を通して提示されます。

このコースでは、 Java言語およびプラットフォームの最も頻繁に発生する深刻なプログラミングの欠陥についても説明し、 Javaプログラマーが犯している典型的なバグと、言語および環境固有の問題の両方について説明します。すべての脆弱性と関連する攻撃は、わかりやすい演習を経て実証され、その後に推奨されるコーディングガイドラインと可能な軽減技術が続きます。

このコースに参加する参加者は

• セキュリティ、ITセキュリティ、および安全なコーディングの基本概念を理解する
• OWASP Top Ten以外のWebの脆弱性を学び、それらを回避する方法を知っている
• Java開発環境のさまざまなセキュリティー機能の使い方を学ぶ
• 暗号の実践的な理解
• 典型的なコーディングミスとその回避方法について学ぶ
• Javaフレームワークの最近の脆弱性に関する情報を入手してください。
• 安全なコーディング慣行に関する情報源とさらなる読み物を入手する

観客

開発者

説明

Javaコンポーネントの使用に関する十分な知識だけでなく、熟練したJavaプログラマーにとっても、サーバー側とクライアント側の両方のWeb関連の脆弱性、 Javaで書かれたWebアプリケーションに関連するさまざまな脆弱性、およびその影響に関する深い知識が必要です。さまざまなリスク

一般的なWebベースの脆弱性は、関連する攻撃を提示することによって実証されていますが、推奨されるコーディング手法と軽減方法は、関連する問題を回避するための最も重要な目的でJavaのコンテキストで説明されています。さらに、 Java Script、 Ajax 、およびHTML 5のセキュリティ問題に取り組むクライアントサイドのセキュリティに特に焦点が当てられています。

このコースでは、暗号化の基礎に先行するStandard Java Editionのセキュリティコンポーネントを紹介し、適用可能なコンポーネントの目的と操作を理解するための共通のベースラインを提供します。すべてのコンポーネントの使用は、参加者が議論されたAPIとツールを自分で試すことができる実践的な演習を通して提示されます。

最後に、このコースではJava言語とプラットフォームの最も頻繁に発生する深刻なプログラミングの欠陥について説明します。 Javaプログラマが犯している典型的なバグのほかに、導入されたセキュリティの脆弱性は言語特有の問題とランタイム環境から生じる問題の両方をカバーします。すべての脆弱性と関連する攻撃は、わかりやすい演習を経て実証され、その後に推奨されるコーディングガイドラインと可能な軽減技術が続きます。

このコースに参加する参加者は

• セキュリティ、ITセキュリティ、および安全なコーディングの基本概念を理解する
• OWASP Top Ten以外のWebの脆弱性を学び、それらを回避する方法を知っている
• クライアントサイドの脆弱性と安全なコーディング方法を学ぶ
• Java開発環境のさまざまなセキュリティー機能の使い方を学ぶ
• 暗号の実践的な理解
• 典型的なコーディングミスとその回避方法について学ぶ
• Javaフレームワークの最近の脆弱性に関する情報を入手してください。
• セキュリティテストツールの使用に関する実用的な知識を習得する
• 安全なコーディング慣行に関する情報源とさらなる読み物を入手する

観客

開発者

も経験豊富な java プログラマは、java によって提供される各種のセキュリティサービスを意味し、同様に java で書かれた web アプリケーションに関連するさまざまな脆弱性を認識していないということでマスターしていません。

は、java エンタープライズエディション (JEE) および web サービスのセキュリティ上の問題を扱う標準 java edition – のセキュリティコンポーネントを導入する以外に、コース – を提供します。具体的なサービスの議論には、暗号の基礎と安全なコミュニケーションが先行しています。さまざまな演習では、JEE の宣言型およびプログラムによるセキュリティ技術を扱い、web サービスのトランスポート層とエンドツーエンドのセキュリティの両方について説明します。すべてのコンポーネントの使用は、参加者が議論された api やツールを自分のために試すことができるいくつかの実践的な演習を通じて示されています。

コースでは、Java 言語とプラットフォームおよび web 関連の脆弱性に関する最も頻繁で厳しいプログラミング上の欠陥についても説明しています。Java プログラマが犯した典型的なバグに加えて、導入されたセキュリティの脆弱性は、ランタイム環境に起因する言語固有の問題と問題の両方をカバーしています。すべての脆弱性と関連する攻撃については、わかりやすい演習を通じて説明し、推奨されるコーディングガイドラインと軽減手法を示します。

このコースに参加する参加者は、

• セキュリティ、IT セキュリティ、セキュアコーディングの基本概念を理解する
• は OWASP トップ10を超えてウェブの脆弱性を学び、それらを回避する方法を知っている
• Web サービスのセキュリティの概念を理解する
• Java 開発環境のさまざまなセキュリティ機能を使用する方法について説明します
• は暗号について実践的に理解している
• Java EE
のセキュリティソリューションを理解する
• 典型的なコーディングミスとそれらを回避する方法について学ぶ
• Java フレームワークの最近の脆弱性に関する情報を取得する
• セキュリティテストツールの使用に関する実践的な知識を得ることが
• は、安全なコーディング方法に関するソースとさらなる測定値を取得し

聴衆

開発者

の知識を超えて、経験豊富な java プログラマにとっても、web アプリケーションに関連する脆弱性を、サーバーとクライアント側の両方において深い知識を持つことが不可欠です。Java で書かれ、様々なリスクの結果。

一般的な web ベースの脆弱性は、関連する攻撃を提示することによって示されますが、推奨されるコーディング手法と軽減方法は、関連する問題を回避するための最も重要な目的と Java のコンテキストで説明されています。さらに、JavaScript、Ajax、および HTML5 のセキュリティ問題に対処するクライアント側のセキュリティにも特に重点がおかれています。

コースでは、暗号化の基礎となる標準 Java エディションのセキュリティコンポーネントを紹介し、該当するコンポーネントの目的と動作を理解するための共通のベースラインを提供します。Java エンタープライズエディションのセキュリティ問題は、JEE の宣言型およびプログラムによるセキュリティ技術の両方を説明するさまざまな演習を通じて示されています。

最後に、このコースでは、Java 言語とプラットフォームの最も頻繁で厳しいプログラミングの欠陥について説明します。Java プログラマが犯した典型的なバグに加えて、導入されたセキュリティの脆弱性は、ランタイム環境に起因する言語固有の問題と問題の両方をカバーしています。すべての脆弱性と関連する攻撃については、わかりやすい演習を通じて説明し、推奨されるコーディングガイドラインと軽減手法を示します。

このコースに参加する参加者は、

• は、セキュリティの基本的な概念を理解する, IT セキュリティとセキュアコーディング
• は OWASP トップ10を超えて Web の脆弱性を学び、それらを回避する方法を知っている
• クライアント側の脆弱性と安全なコーディング方法を学ぶ
• 使用することを学ぶjava 開発環境のさまざまなセキュリティ機能
• は、暗号化の実用的な理解を持っている
• Web サービスのセキュリティの概念を理解する
• Java EE
のセキュリティソリューションを理解する
• について学ぶコーディングの間違いとどのようにそれらを避けるために
• Java フレームワーク
の最近の脆弱性に関する情報を入手
• セキュリティテストツールの使用に関する実践的な知識を得る
• ソースを取得し、セキュリティで保護されたコーディング方法をさらに読み

開発者

今日では、.NETおよびASP.NETフレームワークにコードをコンパイルするための多数のプログラミング言語が利用可能です。環境はセキュリティ開発のための強力な手段を提供しますが、開発者は望ましいセキュリティ機能を実装し、脆弱性を回避するかまたはそれらの利用を制限するためにアーキテクチャとコーディングレベルのプログラミング技術を適用する方法を知っているべきです。

このコースの目的は、信頼できないコードによる特権アクションの実行の防止、強力な認証と承認によるリソースの保護、リモートプロシージャコールの提供、セッションの処理、特定の機能のさまざまな実装の導入などを体得することです。もっと。

さまざまな脆弱性の紹介は、.NETを使用するときに起こる典型的なプログラミング問題の提示から始まります。一方、ASP.NETの脆弱性の説明では、さまざまな環境設定とその影響についても説明します。最後に、ASP.NET固有の脆弱性のトピックは、一般的なWebアプリケーションのセキュリティ上の課題だけでなく、ViewStateへの攻撃や文字列終了攻撃などの特別な問題や攻撃方法についても扱います。

このコースに参加する参加者は

• セキュリティ、ITセキュリティ、および安全なコーディングの基本概念を理解する
• OWASP Top Ten以外のWebの脆弱性を学び、それらを回避する方法を知っている
• .NET開発環境のさまざまなセキュリティ機能の使い方を学ぶ
• セキュリティテストツールの使用に関する実用的な知識を習得する
• 典型的なコーディングミスとその回避方法について学ぶ
• .NETおよびASP.NETの最近の脆弱性に関する情報を入手してください。
• 安全なコーディング慣行に関する情報源とさらなる読み物を入手する

観客

開発者

では、.net および ASP.NET フレームワークにコードをコンパイルするために、多くのプログラミング言語が用意されています。環境は、セキュリティ開発のための強力な手段を提供しますが、開発者は、目的のセキュリティ機能を実装し、脆弱性や制限を回避するために、アーキテクチャとコーディングレベルのプログラミング手法を適用する方法を知っている必要があります彼らの搾取

このコースの目的は、多くの実践的な演習を通じて開発者に教えることであり、信頼できないコードが特権アクションを実行しないようにする方法、強力な認証と承認によるリソースの保護、リモートプロシージャコールの提供、ハンドルセッションは、特定の機能のためのさまざまな実装を導入し、より多くの。特別なセクションは、セキュリティのための .net および ASP.NET 環境の構成と強化に専念しています。

は、暗号化の基礎を簡単に紹介することで、.net で使用できる暗号化機能について説明している、さまざまなアルゴリズムの目的と操作を理解するための一般的な実用ベースラインを提供します。これに続いて、特定の暗号アルゴリズムと暗号プロトコルに関連する最近の暗号の脆弱性と、サイドチャネル攻撃の両方を紹介します。

のさまざまな脆弱性の導入は、入力検証、エラー処理、競合状態などのバグカテゴリを含め、.net を使用する際にコミットされる典型的なプログラミングの問題を示すことから始まります。ASP.NET 固有の脆弱性のトピックでは、ViewState の攻撃や文字列の終端攻撃などの特別な問題と攻撃方法について説明していますが、XML セキュリティには特に重点が   れています。

このコースに参加する参加者は、

• セキュリティ、IT セキュリティ、セキュアコーディングの基本概念を理解する
• .net 開発環境のさまざまなセキュリティ機能を使用する方法について説明します
• は暗号について実践的に理解している
• は、暗号
に対する最近の攻撃を理解する
• .net および ASP.NET の最近の脆弱性に関する情報を取得
• 典型的なコーディングミスとそれらを回避する方法について学ぶ
• セキュリティテストツールの使用に関する実践的な知識を得ることが
• は、安全なコーディング方法に関するソースとさらなる測定値を取得し

聴衆

開発者

.net および ASP.NET のさまざまなセキュリティ機能を使用して、経験豊富なプログラマにとっても、web 関連の脆弱性に関する深い知識を、サーバーとクライアント側の両方の結果と共に理解することが不可欠です。リスク

このコースでは、一般的な web ベースの脆弱性は、関連する攻撃を提示することによって示されますが、推奨されるコーディング手法と軽減方法は、ASP.NET のコンテキストで説明されています。特に、JavaScript、Ajax、HTML5 のセキュリティ問題に対処するクライアント側のセキュリティに焦点を当てています。

コースでは、コードとロールベースのアクセス制御、アクセス許可の宣言とチェックメカニズム、透過性モデルなど、.net framework のセキュリティアーキテクチャとコンポーネントについても扱います。暗号化の基礎を簡単に紹介すると、.net で使用できる暗号化機能について説明する、さまざまなアルゴリズムの目的と操作を理解するための一般的な実用ベースラインが提供されます。

導入は、入力検証、セキュリティ機能、エラー処理、時間と状態に関連する問題、一般的なコード品質の問題のグループ、および特別な解決に取り組む、定評のある脆弱性カテゴリに従います。ASP.NET 固有の脆弱性に関するセクション。これらのトピックは、学習したバグの一部を自動的に明らかにするために使用できるテストツールについて概説しています。

のトピックは、参加者が特定の脆弱性の結果を試すことができます実践的な演習を通じて提示されています, 軽減, だけでなく、議論の api やツール自身のために.

このコースに参加する参加者は、

• は、セキュリティの基本的な概念を理解する, IT セキュリティとセキュアコーディング
• は OWASP トップ10を超えて Web の脆弱性を学び、それらを回避する方法を知っている
• クライアント側の脆弱性と安全なコーディング方法を学ぶ
• 使用することを学ぶ.net 開発環境のさまざまなセキュリティ機能
• は、暗号化の実用的な理解を持っています
• .net および ASP.NET
の最近の脆弱性に関する情報を入手する
• セキュリティテストの使用に関する実践的知識の取得ツール
• 一般的なコーディングミスについて学習し、それらを回避する方法
• ソースを取得し、安全なコーディング方法についてさらに読み

開発者

Webを介してアクセス可能なアプリケーションを保護するには、現在の攻撃方法と傾向を常に把握している、十分に準備されたセキュリティ専門家が必要です。 Webアプリケーション（ Java 、ASP.NET、 PHPなど、およびクライアント側のJavaスクリプトやAjax ）を快適に開発できるようにするテクノロジーと環境が多数存在します。これらのプラットフォームに関連するセキュリティの問題だけでなく、使用されている開発ツールに関係なく適用されるすべての一般的な脆弱性も認識する必要があります。

このコースでは、安全な通信やWebサービスなどの最も重要な技術に焦点を当て、 Web ServicesセキュリティやXMLなどのトランスポート層セキュリティおよびエンドツーエンドセキュリティソリューションと標準の両方に焦点を当て、Webアプリケーションに適用可能なセキュリティソリューションの概要を説明しXML 。また、典型的なプログラミングの誤りの概要を簡単に説明します。何よりも、入力検証の欠落や不適切な検証に関連しています。

Webベースの脆弱性は、関連する攻撃を提示することで実証されますが、関連する問題を回避するために推奨されるコーディング手法と軽減方法が説明されています。さまざまなプログラミング言語を使用するプログラマーは簡単に演習を行うことができるため、Webアプリケーション関連のトピックは他の安全なコーディングの主題と簡単に組み合わせることができ、さまざまな言語や開発プラットフォームを通常扱う企業開発グループのニーズを効果的に満たすことができますWebアプリケーションを開発します。

このコースに参加する参加者は

• セキュリティ、ITセキュリティ、安全なコーディングの基本概念を理解する
• OWASPトップ10を超えるWebの脆弱性を学び、それらを回避する方法を知る
• クライアント側の脆弱性と安全なコーディング慣行を学ぶ
• 暗号化について実際に理解している
• Webサービスのセキュリティ概念を理解する
• セキュリティテストツールの使用に関する実用的な知識を得る
• セキュリティで保護されたコーディングの実践に関する情報源と詳細情報を入手する

聴衆

開発者

脆弱性と攻撃方法に精通した後、参加者は、一般的なアプローチとセキュリティテストの方法論、および特定の脆弱性を明らかにするために適用できる手法について学びます。セキュリティテストは、システムに関する情報収集 (ToC、つまり評価対象) から開始し、脅威の完全なモデル化によってすべての脅威を明らかにし、評価し、最も適切なリスク分析駆動型のテスト計画に到達する必要があります。

のセキュリティ評価は、SDLC の様々なステップで発生することができますので、我々は設計レビュー、コードレビュー、偵察とシステムについての情報収集を議論し、実装とテストをテストし、安全のための環境を強化展開。多くのセキュリティテスト技法は、汚染分析やヒューリスティックベースのコードレビュー、スタティックコード分析、動的 web 脆弱性テスト、ファジングなど、詳細に紹介されています。ソフトウェア製品のセキュリティ評価を自動化するために適用できるさまざまなツールが導入されており、このツールを実行して、既に説明した脆弱なコードを分析するための演習も数多くサポートされています。多くの実生活のケーススタディは、さまざまな脆弱性の理解をサポートしています。

このコースでは、テスターと QA スタッフが十分に計画し、正確にセキュリティテストを実行し、選択し、最も適切なツールと技術を使用しても隠されたセキュリティの欠陥を見つけるために準備し、そのために適用することができます不可欠な実践的スキルを与える翌日営業日。

このコースに参加する参加者は、

• は、セキュリティの基本的な概念を理解する, IT セキュリティとセキュアコーディング
• OWASP トップ10を超えて Web の脆弱性を学び、それらを回避する方法を知っている
• クライアント側の脆弱性と安全なコーディング方法を学ぶ
• 理解セキュリティテストのアプローチと方法論
• セキュリティテストのテクニックとツールの使用に関する実践的な知識を得ることが
• ソースを取得し、セキュアコーディングの実践に関するさらなる測定値

開発者、テスター

Web経由でアクセス可能なアプリケーションを保護するには、常に現在の攻撃方法や傾向を把握している、十分に準備されたセキュリティの専門家が必要です。 Webアプリケーションの快適な開発を可能にする技術と環境がたくさんあります。これらのプラットフォームに関連するセキュリティ問題だけでなく、使用されている開発ツールに関係なく適用されるすべての一般的な脆弱性についても認識する必要があります。

このコースでは、Webアプリケーションに適用可能なセキュリティソリューションの概要を説明します。特に、適用する最も重要な暗号化ソリューションを理解することに重点を置いています。さまざまなWebアプリケーションの脆弱性がサーバー側（ OWASPトップテンに続く）とクライアント側の両方で提示され、関連する攻撃を通して実証され、続いて関連する問題を回避するための推奨されるコーディング手法と緩和方法が続きます。安全なコーディングの主題は、入力検証、セキュリティー機能の不適切な使用、およびコード品質の分野における典型的なセキュリティー関連プログラミングの誤りについて議論することによってまとめられています。

Webアプリケーションのセキュリティと堅牢性を保証する上で、テストは非常に重要な役割を果たします。高度な監査から侵入テスト、倫理的なハッキングまで、さまざまなアプローチを適用して、さまざまな種類の脆弱性を見つけることができます。しかし、簡単に見つけることができる果物を超えて行きたいのであれば、セキュリティテストは適切に計画され適切に実行されるべきです。覚えておいてください：セキュリティテスターは理想的にはシステムを保護するためにすべてのバグを見つけるべきですが、敵対者にとってそれに侵入するために1つの悪用可能な脆弱性を見つけることで十分です。

実践的な演習では、セキュリティスキャナーからスニファ、プロキシサーバー、ファジングツール、静的ソースコードアナライザーまで、さまざまなテストツールの実地試験とともに、Webアプリケーションの脆弱性、プログラミングの失敗、そして最も重要な緩和技術を理解するのに役立ちます。職場で翌日に適用することができます不可欠な実践的なスキル。

このコースに参加する参加者は

• セキュリティ、ITセキュリティ、および安全なコーディングの基本概念を理解する
• OWASP Top Ten以外のWebの脆弱性を学び、それらを回避する方法を知っている
• クライアントサイドの脆弱性と安全なコーディング方法を学ぶ
• 暗号の実践的な理解
• セキュリティテストのアプローチと方法論を理解する
• セキュリティテストの手法とツールを使用する際の実践的な知識を得る
• さまざまなプラットフォーム、フレームワーク、およびライブラリにおける最近の脆弱性について知らされる
• 安全なコーディング慣行に関する情報源とさらなる読み物を入手する

観客

開発者、テスター

は、インターネットを介して現代的な攻撃に耐性のアプリケーションを作成する必要がある PHP の開発者のための必須のスキルを提供しています。Web の脆弱性については、php ベースの例では、OWASP トップ10を超えて、様々な注入攻撃、スクリプトの注射、php のセッション処理に対する攻撃、安全でない直接オブジェクトの参照、ファイルのアップロードの問題に取り組んで議論され、多くの他。PHP 関連の脆弱性は、不足しているか不適切な入力検証、誤ったエラーと例外処理、セキュリティ機能と時間と状態に関連する問題の不正使用の標準の脆弱性の種類にグループ化されています。この後者のために我々は、open_basedir 迂回のような攻撃を議論する, マジックフロートまたはハッシュテーブルの衝突攻撃を介してサービス拒否.いずれの場合も、参加するリスクを軽減するために使用される最も重要なテクニックと機能について、参加者は熟知しています。

は、JavaScript、Ajax、HTML5 のセキュリティ問題に取り組むクライアント側のセキュリティに特に重点をおいています。PHP へのセキュリティ関連の拡張の数は、暗号化のためのハッシュ、mcrypt と OpenSSL、または入力検証のための Ctype、ext/filter と HTML 清浄器のように導入されます。最も優れた強化方法は、php の設定 (php.ini の設定)、Apache、およびサーバー全般に関連して与えられます。最後に、セキュリティスキャナー、侵入テストと悪用パック、スニッファ、プロキシサーバー、ファジングツール、および静的ソースコードアナライザなど、開発者とテスターが使用できるさまざまなセキュリティテストツールと技法について概説します。

は、脆弱性の導入と構成の実践の両方が成功した攻撃の結果を示す実践的な演習の数でサポートされています, 軽減技術を適用し、様々な使用を導入する方法を示して拡張機能とツール

このコースに参加する参加者は、

• セキュリティ、IT セキュリティ、セキュアコーディングの基本概念を理解する
• は OWASP トップ10を超えてウェブの脆弱性を学び、それらを回避する方法を知っている
• クライアント側の脆弱性とセキュリティで保護されたコーディング方法を学ぶ
• は暗号について実践的に理解している
• PHP のさまざまなセキュリティ機能を使用することを学ぶ
• 典型的なコーディングミスとそれらを回避する方法について学ぶ
• は、PHP フレームワークの最近の脆弱性について通知される
• セキュリティテストツールの使用に関する実践的な知識を得ることが
• は、安全なコーディング方法に関するソースとさらなる測定値を取得し

聴衆

開発者

は、日常の作業中に同時に様々なプラットフォームを使用している最良の方法で異種の開発グループを提供するために、我々は教訓的な方法で多様なセキュアコーディングの科目を提示する組み合わせのコースに各種のトピックをマージしている単一のトレーニングイベント。このコースでは、C および C++ と Java プラットフォームのセキュリティを組み合わせて、広範なクロスプラットフォームのセキュアコーディングの専門知識を提供します。

に関する一般的なセキュリティの脆弱性については、これらの脆弱性を悪用する攻撃方法について実践的に説明するとともに、発生を防ぐために適用できる軽減手法に焦点を当てて議論されています。これらの危険なバグは、市場の打ち上げ前にそれらを検出したり、搾取を防ぐ。

のセキュリティコンポーネントと Java のサービスは、参加者がそれらを使用して実践的な経験を積むことができるいくつかの実用演習を通じて、さまざまな api やツールを提示することによって議論されています。このコースでは、web サービスのセキュリティ上の問題と、インターネットベースのサービスの最も痛む脅威を防ぐために適用できる関連する Java サービスについても説明します。最後に、web および Java 関連のセキュリティの脆弱性は、問題の根本原因を示すだけでなく、推奨される軽減とコーディングの手法と共に、攻撃方法を実証する簡単な演習で示されています。関連するセキュリティ問題を回避するために

このコースに参加する参加者は、

• セキュリティ、IT セキュリティ、セキュアコーディングの基本概念を理解する
• は OWASP トップ10を超えてウェブの脆弱性を学び、それらを回避する方法を知っている
• クライアント側の脆弱性とセキュリティで保護されたコーディング方法を学ぶ
• Java 開発環境のさまざまなセキュリティ機能を使用する方法について説明します
• は暗号について実践的に理解している
• は、安全でないバッファ処理の重大な結果を実現する
• は、アーキテクチャの保護技術とその弱点を理解する
• 典型的なコーディングミスとそれらを回避する方法について学ぶ
• は、さまざまなプラットフォーム、フレームワーク、およびライブラリの最近の脆弱性について通知される
• は、安全なコーディング方法に関するソースとさらなる測定値を取得し

オーディエンス

開発者

経験豊富なプログラマーさえも、開発プラットフォームが提供するさまざまなセキュリティサービスをあらゆる手段でマスターするものではなく、その開発に関連するさまざまな脆弱性についても知らない。 このコースは、開発者が両方を使用することを目指し、インターネットを通じて現代の攻撃に耐えられるアプリケーションを作るために必要な基本的なスキルを提供します。

セキュリティアーキテクチャのレベルは、アクセスコントロール、認証および認証、セキュアなコミュニケーションおよびさまざまな暗号機能に対処することによって通過されます。 また、暗号化のためのOpenSSLや入力認証のためのPurifierなどのコードをセキュリティ化するために使用できるさまざまなAPIも導入されています。 サーバー側では、オペレーティングシステム、ウェブコンテナ、ファイルシステム、サーバー(5)およびそれ自体(4)の硬化および構成のための最良の実践が与えられ、クライアント側のセキュリティに特別な焦点を当てている。

一般的なウェブ脆弱性は、さまざまな注射攻撃、スクリプト注射、セッション処理に対する攻撃、不確実な直接オブジェクト参照、ファイルアップロードの問題などを示すトップ10の例によって議論されます。 ワークタイム環境から生じるさまざまな言語問題や問題は、欠けているか不適切な入力認証、セキュリティ機能の不適切な使用、不適切なエラーと例外処理、時間と状態に関連する問題、コードの質の問題、モバイルコードに関連する脆弱性の標準型に分類されます。

参加者は、議論されたAPI、ツール、および構成の効果を自分で試すことができますが、脆弱性の導入はすべて、成功した攻撃の結果を示す実践的な練習の数によってサポートされ、バグを修正し、緩和技術を適用し、さまざまな拡張子やツールの使用を導入します。

このコースに参加する参加者は、

• セキュリティ、ITセキュリティ、セキュアコードの基本的な概念を理解する
• ウェブ上の脆弱性を学び、それらを回避する方法を学びます。
• クライアント側の脆弱性とセキュアなコーディングの実践を学ぶ
• (2)開発環境のさまざまなセキュリティ機能を使用することを学びます。
• 暗号化の実践的な理解を得る
• さまざまなセキュリティ機能を使用することを学びます(4)
• ウェブサービスのセキュリティ概念を理解する
• セキュリティテストツールを使用するための実用的な知識を得る
• 典型的なコードエラーについて学び、それらを避ける方法
• フレームワークや図書館における最近の脆弱性についてお知らせします。
• セキュアコーディングの実践についての情報源とさらなる読書を得る

観客

開発者

Androidは、ハンドセットやタブレットなどのモバイルデバイス用のオープンプラットフォームです。セキュアなソフトウェアの開発を容易にするためのさまざまなセキュリティ機能があります。ただし、他のハンドヘルドプラットフォームに存在する特定のセキュリティ面も欠落しています。このコースでは、これらの機能の包括的な概要を提供し、基盤となるLinux 、ファイルシステム、および環境全般に関連する最も重要な欠点、および権限やその他のAndroidソフトウェア開発コンポーネントの使用に関する注意事項を示します。

一般的なセキュリティの落とし穴と脆弱性は、ネイティブコードとJavaアプリケーションの両方について、それらを回避および軽減するための推奨事項とベストプラクティスとともに説明されています。多くの場合、議論された問題は実際の例とケーススタディでサポートされています。最後に、セキュリティテストツールを使用して、セキュリティに関連するプログラミングのバグを明らかにする方法について簡単に説明します。

このコースに参加する参加者は

• セキュリティ、ITセキュリティ、安全なコーディングの基本概念を理解する
• Androidのセキュリティソリューションを学ぶ
• Androidプラットフォームのさまざまなセキュリティ機能の使用方法を学ぶ
• Android上のJava最近の脆弱性に関する情報を入手する
• 典型的なコーディングの間違いとその回避方法を学ぶ
• Androidネイティブコードの脆弱性について理解する
• ネイティブコードでの安全でないバッファ処理の深刻な結果を実現する
• アーキテクチャ保護技術とその弱点を理解する
• セキュリティで保護されたコーディングの実践に関する情報源と詳細情報を入手する

聴衆

専門家