Szkolenia Capstone Courseware

Cel szkolenia dlearning

Kurs ukazuje szeroki zakres wyzwań i technik, które kryją się pod „bezpieczeństwem w Javie”. Opisuje techniki dla Java SE oraz Java EE, coraz częściej jednak aplikacje EE używają technik SE, takich jak pliki polityk i uwierzytelnianie JAAS. Kurs poświęca czas każdej z platform, omawiając podstawy SE, takie jak AcessController, uprawnienia i polityki, oraz tradycyjne techniki EE takie jak deklaracje bezpieczeństwa sieciowego oraz model autoryzacji EJB.

Kurs kładzie nacisk na ćwiczenia praktyczne, większą część czasu kursanci spędzą na rozwiązywaniu konkretnych problemów związanych z bezpieczeństwem. Większość ćwiczeń jest zorganizowanych jako scenariusze, w których program posiada lukę bezpieczeństwa. Kursanci wpierw próbują ją wykorzystać w jakiś sposób, a następnie wyeliminować poprzez ustawienie polityki, podpisanie pliku, wyczyszczenie wystawionych części API, wymuszenie logowania etc.

Ta wersja kursu celuje w Java SE w wersji 6 i Java EE w wersji 5, jednak może być bezproblemowo zastosowana dla Java SE w wersji 5 oraz Java EE w wersji 1.4.

Cele szkolenia:

  • Projektowanie i implementacja polityk bezpieczeństwa dla aplikacji, serwerów i komponentów Java.
  • Zarządzanie kluczami i certyfikatami dla aplikacji Java, oraz podpisywanie kodu źródłowego w razie potrzeby.
  • Ćwiczenie bezpiecznego projektowania i programowania, oraz balansu pomiędzy funkcjonalnością a bezpieczeństwem w interfejsach użytkownika i API
  • Podpisywanie i weryfikacja danych i wiadomości aplikacji przy użycia JCA, oraz szyfrowanie/deszyfrowanie za pomocą JCE.
  • Wprowadzenie uwierzytelniania JASS do aplikacji
  • Implementacja JAAS LoginModule do połączenia z danymi własnej aplikacji.
  • Zabezpieczanie aplikacji Java EE poprzez URL oraz role, integracja uwierzytelniania JAAS
  • Unikanie typowych pułapek aplikacji sieciowych w Javie, włączając SQL injection i ataki cross-site-scripting.

Plan szkolenia Rozwiń listę

  1. Java SE bezpieczeństwo
    • Holistyczne podejście do bezpieczeństwa
    • Zagrożenia dla użytkownika
    • Class Loader oraz Bytecode Verifier
    • Klasy systemowe i Core API
    • SecurityManager i AccessController
    • Uprawnienia
    • Implikacja
    • CodeSources
    • Polityki
    • Konfiguracja zabezpieczeń Java SE
    • Dynamiczne polityki
    • Akcje uprzywilejowane
  2. Podpisywanie kodu i zarządzanie kluczami
    • Szyfrowanie i podpis cyfrowy
    • Keystores
    • Klucze i certyfikaty
    • Urzędy certyfikacji
    • KeyStore
    • API
    • Podpisywanie JAR
    • Podpisane CodeSources
    • Additional Policy Semantics
  3. Praktyki bezpiecznego programowania: Java SE
    • Wstrzykiwanie kodu (Code Injection)
    • Metody i klasy finalne
    • Wzorce projektowe: singletony, metody wytwórcze oraz pyłki
    • Metody, kolekcje, i ukrywanie danych
    • Izolowanie JAR
    • Zaciemnianie kodu
    • Serializacja obiektu
  4. Kryptografia
    • Zagrożenia dla tożsamości i prywatności
    • Rozszerzenia kryptograficzne Javy
    • Klasa Signature
    • SignedObject
    • Rozszerzenia kryptograficzne w Javie
    • SecretKey i KeyGenerator
    • Klasa Cipher
    • Niebezpieczne praktyki
    • HTTP i JSSE
  5. JAAS
    • Dołączana logika uwierzytelniania
    • JAAS
    • Paczki i interfejsy
    • Subjects oraz Principals
    • AND oraz OR
    • Impersonation
    • Uprawnienia JASS
    • JAAS uprawnienia
    • LoginContext oraz LoginModule
    • Konfiguracja JAAS
    • CallbackHandler i wywołania zwrotne
    • Implementacja klienta JAAS
    • Implementacja LoginModule
  6. Java EE bezpieczeństwo
    • Serwery Java EE jako hosty kodu
    • Konfiguracja bezpieczeństwa Tomcat
    • Deklaracja ról
    • Zabezpieczanie URL
    • Schematy uwierzytelniania HTTP
    • Zabezpieczanie EJB
    • Bezpieczeństwo programowe
    • JAAS w Java EE
    • Realm i LoginModules
    • JAAS in Tomcat
    • JACC
    • Certyfikacja aplikacji Java EE
    • Konfiguracja HTTPS
  7. Praktyki bezpiecznego programowania: Java EE
    • Zagrożenia warstwy prezentacji
    • Konta użytkowników
    • MVC i bezpieczeństwo
    • Sprawdzane danych użytkownika
    • SQL Injection
    • Cross-Site Scripting
    • Reflected XSS
    • Zwalczanie XSS
    • OWASP
    • Testy penetracyjne
    • Obsługa błędów i wyciek informacji
    • Logowanie i audytowanie
Pobierz konspekt szkolenia w formacie PDF

Dodatkowe informacje

Wymagania
  • Solidne doświadczenie w programowaniu w Javie, kurs 103 jest doskonałym przygotowaniem.
  • Duże doświadczenie w programowaniu w Java EE nie jest wymagana, jednakże pewna wiedza o Java EE jest zalecana, kurs 108 jest zalecany.
Poziom trudności
Czas trwania 3 dni
Certyfikat Uczestnicy szkolenia otrzymują certyfikat sygnowany przez firmę Capstone Courseware.
Prowadzący Certyfikowany wykładowca Capstone Courseware.

Szkolenia powiązane tematycznieRozwiń listę

Java

Web Design i Programowanie


Prosimy o wypełnienie poniższego formularza, jeśli chcą Państwo uzyskać więcej informacji o powyższym szkoleniu.






* pola oznaczone (*) są wymagane

Informacje o przetwarzaniu danych przez Compendium – Centrum Edukacyjne Spółka z o.o.

Administratorem danych osobowych jest Compendium – Centrum Edukacyjne Spółka z o.o. z siedzibą w Krakowie, ul. Tatarska 5,30-103 Kraków, e-mail: compendium@compendium.pl

W sprawach związanych z Pani/a danymi można kontaktować się z powołanym Inspektorem Ochrony Danych, e-mail iod@compendium.pl, lub pisząc na adres korespondencyjny Compendium – Centrum Edukacyjne Spółka z o.o. ul. Tatarska 5, 30-103 Kraków

Dane będą przetwarzane w celu przesyłania informacji handlowych, marketingowych oraz przesłaniu newslettera na podstawie wyrażonej zgody.

Dane mogą być udostępniane:

- pracownikom i współpracownikom Compendium – Centrum Edukacyjne Spółka z o.o., którzy muszą mieć dostęp do danych osobowych aby realizować Pani/a zamówienie, lub usługę
- podmioty przetwarzające dane na zlecenie Compendium – Centrum Edukacyjne Spółka z o.o., np. poczta, kurier, przewoźnik profesjonalny,
- uprawnione organy państwowe w tym organy nadzorcze w zakresie ich uprawnień.

Dane będą przechowywane przez okres realizacji zamówienia i usług posprzedażowych, a jeżeli tego okresu ustalić się nie da – do czasu wyrażenia przez Panią/a sprzeciwu.

Ma Pan/i prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania.

Ma Pan/i prawo do wniesienia sprzeciwu wobec dalszego przetwarzania, a w przypadku wyrażenia zgody na przetwarzanie danych do jej wycofania. Skorzystanie prawa cofnięcia zgody nie ma wpływu na przetwarzanie, które miało miejsce do momentu wycofania zgody.

Ma Pan/i także prawo do przenoszenia danych.

Informujemy, że Pana/Pani dane osobowe nie będą profilowane.

Przysługuje Pani/u prawo wniesienia skargi do organu nadzorczego Prezesa Urzędu Ochrony Danych Osobowych, w przypadku przetwarzania Pana/Pani danych osobowych w sposób naruszający przepisy RODO.

CENA 2100 PLN NETTO Czy wiesz, że możesz uzyskać do 100% dofinansowania na ten kurs?   Sprawdź jak »

zamknij

Kody rabatowe

Kod rabatowy, może dotyczyć (szkolenia, producenta, terminu). Jeżeli posiadasz kod rabatowy, to wpisz go w odpowiednie pole.
(kolor zielony oznacza wpisanie prawidłowego kodu | kolor czerwony oznacza, że wpisany kod jest nieprawidłowy)

FORMA SZKOLENIA ?

zamknij

Szkolenie stacjonarne

Szkolenia stacjonarne w Compendium CE odbywają się najczęściej w naszych lokalizacjach w Krakowie i Warszawie, ale także w miejscu ustalonym przez klienta. Grupa uczestnicząca w szkoleniu spotyka się w danym miejscu o określonym czasie i wraz z trenerem aktywnie uczestniczy w laboratoriach.

Szkolenie dlearning

W szkoleniach Compendium Distance Learning możesz uczestniczyć z dowolnego miejsca na świecie. Kursanci, dzięki zaawansowanej technologii, którą dostarcza Compendium CE, stale widzą i słyszą trenera, mogą mu zadawać pytania poprzez chat i mikrofon, a także uczestniczą w ćwiczeniach i laboratoriach, które rozwiązują wraz z prowadzącym. Po więcej informacji zajrzyj na stronę dlearning.eu

MATERIAŁY SZKOLENIOWE ?

zamknij

Materiały papierowe

Materiały tradycyjne: cena zawiera standardowe materiały wydawane w postaci książek papierowych, drukowanych lub innej, w zależności od ustaleń z producentem.

Materiały ctab

Materiały ctab: cena zawiera tablet ctab oraz materiały szkoleniowe w formie elektronicznej bądź tradycyjne materiały szkoleniowe i materiały dodatkowe dostarczone w wersji elektronicznej w zależności od ustaleń z producentem (w postaci dokumentów PDF lub EPUB). Tak dostarczone materiały są przystosowane pod kątem wyświetlania ich na tablecie ctab. Po więcej informacji zajrzyj na stronę ctab.

 

WYBIERZ TERMIN SZKOLENIA

Brak ustalonych terminów dla tego szkolenia.

Zaproponuj własny termin

Najbliższe szkolenia Capstone Courseware

Harmonogram szkoleń
Capstone Courseware