Köszönjük, hogy elküldte érdeklődését! Csapatunk egyik tagja hamarosan felveszi Önnel a kapcsolatot.
Köszönjük, hogy elküldte foglalását! Csapatunk egyik tagja hamarosan felveszi Önnel a kapcsolatot.
Kurzusleírás
1. Informatikai biztonság és biztonságos kódolás
- Alapvető biztonsági elvek: Titkosság, integritás és rendelkezésre állás (CIA) a Java alkalmazások kontextusában.
- Biztonságos szoftverfejlesztési életciklus (SSDLC): A biztonság integrálása a követelményektől a telepítésig.
- Biztonságos kódolási paradigmák: Mélyreható védelem, legkisebb jogosultság és biztonságos alapértelmezések.
- Standard sebezhetőségi osztályozások: A CWE (Common Weakness Enumeration) és az OWASP megértése.
2. Webalkalmazás-biztonság
- Mélyreható bemutatás az OWASP Top Ten-ről: Részletes elemzés az injekcióról, a hibás hitelesítésről és az érzékeny adatok kitettségéről.
- Cross-Site Scripting (XSS): Visszaverődő, tárolt és DOM-alapú XSS forgatókönyvek Java/JSP-ben.
- Cross-Site Request Forgery (CSRF): A támadás mechanizmusai és az Anti-CSRF tokenek implementálása.
- Munkamenet-kezelés: Sütik biztonsága, munkamenet-rögzítés és időtúllépés kezelése.
- API-biztonság: REST és SOAP végpontok biztonságossá tétele a visszaélések ellen.
3. Webszolgáltatások biztonsága
- Webszolgáltatások vs. hagyományos webalkalmazások: Különbségek a támadási felületekben.
- Szállítási rétegbeli biztonság: SSL/TLS konfiguráció Java kliens- és szerveroldalon.
- Üzenetbiztonság: Integritás és titkosság a hasznos adatok szintjén.
- Hitelesítési szabványok: OAuth 2.0, OpenID Connect és JWT (JSON Web Tokens) implementáció.
4. XML biztonság
- XML elemzési sebezhetőségek: XML külső entitás (XXE) támadások megelőzése.
- XML séma érvényesítés: Szigorú séma érvényesítésének ajánlott gyakorlatai.
- XML digitális aláírások: Aláírások implementálása a nem elutasíthatóság biztosítása érdekében.
- XML titkosítás: Szabványos megközelítések az XML tartalom titkosítására.
5. Java biztonság alapjai
- A Java biztonsági architektúra: A
java.securitycsomag és a szolgáltatói architektúra. - Biztonsági szolgáltatók: Szolgáltatók telepítése és konfigurálása, mint például a Bouncy Castle.
- Hozzáférés-vezérlés: Szabályzatfájlok, engedélyek és a biztonsági kezelő (örökölt vs. modern).
- KeyStore kezelés: Tanúsítványokhoz tartozó kulcstárolók és bizalmi tárolók létrehozása és kezelése.
6. Gyakorlati kriptográfia
- Kriptográfiai algoritmusok: Áttekintés a szimmetrikus (AES), aszimmetrikus (RSA, ECC) és hash (SHA-256/512) algoritmusokról.
- Véletlenszám-generálás: A
java.util.Randomveszélyei ajava.security.SecureRandom-val szemben. - Kulcskezelés: Kulcsgenerálás, tárolás és rotációs stratégiák.
- Java kriptográfiai architektúra (JCA): A
Cipher,MessageDigest, ésMacosztályok használata. - Java kriptográfiai kiterjesztés (JCE): Szabályzatfájlok és korlátlan erősségű joghatóság megértése.
7. Java biztonsági szolgáltatások
- SSL/TLS Java-ban: A
SSLSocketFactoryés aHttpsURLConnectionhasználata. - Bizalmi kezelők: Egyedi bizalmi ellenőrzés testreszabása privát PKI környezetekben.
- Hitelesítők: Programozott hitelesítés a
Authenticator.getDefault()használatával. - Tanúsítvány elemzés: X.509 tanúsítványok programozott olvasása és elemzése.
8. Java EE biztonság
- Deklaratív biztonság: Szerepalapú hozzáférés-vezérlés (RBAC) a
web.xmlés annotációk használatával. - Programozott biztonság: A
HttpServletRequest.isUserInRole()és agetRemoteUser()használata. - JAAS (Java Hitelesítési és Jogosultság-kezelési Szolgáltatás): A
login.confkonfigurálása és aLoginModule-ok implementálása. - Servlet biztonság: Konténer által kezelt biztonsági korlátozások és hitelesítési módszerek (FORM, BASIC, DIGEST).
9. Gyakori kódolási hibák és sebezhetőségek
- Nem biztonságos deszerializáció: A
ObjectInputStreamkockázatai és a biztonsági ellenőrzések megkerülése. - Parancs injekció: Operációs rendszer szintű végrehajtási sebezhetőségek enyhítése.
- Útvonalbejárás: Fájlrendszer bemenetek tisztítása a könyvtárbejárás megelőzése érdekében.
- Reflekció visszaélés: A
java.lang.reflectkockázatai és a hozzáférés-vezérlés megkerülése. - Keménykódolt hitelesítő adatok: Titkok azonosítása és eltávolítása a forráskódból.
- Kriptográfiai implementációs hibák: ECB mód használata, gyenge kulcsok vagy statikus IV-k.
10. Tudásforrások
- Statikus elemző eszközök: SonarQube, Checkmarx és Fortify használata automatizált szkenneléshez.
- Dinamikus elemző eszközök: Burp Suite és OWASP ZAP áttekintése.
- CVE adatbázisok: Hogyan követhetjük és reagálhatunk az új Java keretrendszer sebezhetőségekre.
- Ajánlott olvasmányok: Könyvek, dokumentációk és biztonságos kódolási ellenőrzőlisták.
Követelmények
Nincs.
21 Órák
Vélemények (4)
a képző tanulmányi ismeretei nagyon magas szintű voltak - tudta, miről beszél, és tudott válaszolni a kérdéseinkre
Adam - Fireup.PRO
Kurzus - Advanced Java Security
Gépi fordítás
Gyakorló feladatok
Olek - Fireup.PRO
Kurzus - Advanced Java Security
Gépi fordítás
kódolási gyakorlások
Mirek - Fireup.PRO
Kurzus - Advanced Java Security
Gépi fordítás
Sokat nyit meg és sokat mutat biztonsággal kapcsolatosan
Nolbabalo Tshotsho - Vodacom SA
Kurzus - Advanced Java Security
Gépi fordítás
