Szkolenia Capstone Courseware

Cel szkolenia szkolenie zdalne - dlearning

kod: CC-107 | wersja: v6.0

Wersja 6.0

Kurs ukazuje szeroki zakres wyzwań i technik, które kryją się pod „bezpieczeństwem w Java”. Opisuje techniki dla Java SE oraz Java EE, coraz częściej jednak aplikacje EE używają technik SE, takich jak pliki polityk i uwierzytelnianie JAAS. Kurs poświęca czas każdej z platform, omawiając podstawy SE, takie jak AcessController, uprawnienia i polityki, oraz tradycyjne techniki EE takie jak deklaracje bezpieczeństwa sieciowego oraz model autoryzacji EJB.

Kurs kładzie nacisk na ćwiczenia praktyczne, większą część czasu kursanci spędzą na rozwiązywaniu konkretnych problemów związanych z bezpieczeństwem. Większość ćwiczeń jest zorganizowanych jako scenariusze, w których program posiada lukę bezpieczeństwa. Kursanci wpierw próbują ją wykorzystać w jakiś sposób, a następnie wyeliminować poprzez ustawienie polityki, podpisanie pliku, wyczyszczenie wystawionych części API, wymuszenie logowania etc.

Ta wersja kursu celuje w Java SE w wersji 6 i Java EE w wersji 5, jednak może być bezproblemowo zastosowana dla Java SE w wersji 5 oraz Java EE w wersji 1.4.

Cele szkolenia:

  • Projektowanie i implementacja polityk bezpieczeństwa dla aplikacji, serwerów i komponentów Java.
  • Zarządzanie kluczami i certyfikatami dla aplikacji Java, oraz podpisywanie kodu źródłowego w razie potrzeby.
  • Ćwiczenie bezpiecznego projektowania i programowania, oraz balansu pomiędzy funkcjonalnością a bezpieczeństwem w interfejsach użytkownika i API
  • Podpisywanie i weryfikacja danych i wiadomości aplikacji przy użycia JCA, oraz szyfrowanie/deszyfrowanie za pomocą JCE.
  • Wprowadzenie uwierzytelniania JASS do aplikacji
  • Implementacja JAAS LoginModule do połączenia z danymi własnej aplikacji.
  • Zabezpieczanie aplikacji Java EE poprzez URL oraz role, integracja uwierzytelniania JAAS
  • Unikanie typowych pułapek aplikacji sieciowych w Javie, włączając SQL injection i ataki cross-site-scripting.

Plan szkolenia Rozwiń listę

  1. Java SE bezpieczeństwo
    • Holistyczne podejście do bezpieczeństwa
    • Zagrożenia dla użytkownika
    • Class Loader oraz Bytecode Verifier
    • Klasy systemowe i Core API
    • SecurityManager i AccessController
    • Uprawnienia
    • Implikacja
    • CodeSources
    • Polityki
    • Konfiguracja zabezpieczeń Java SE
    • Dynamiczne polityki
    • Akcje uprzywilejowane
  2. Podpisywanie kodu i zarządzanie kluczami
    • Szyfrowanie i podpis cyfrowy
    • Keystores
    • Klucze i certyfikaty
    • Urzędy certyfikacji
    • KeyStore
    • API
    • Podpisywanie JAR
    • Podpisane CodeSources
    • Additional Policy Semantics
  3. Praktyki bezpiecznego programowania: Java SE
    • Wstrzykiwanie kodu (Code Injection)
    • Metody i klasy finalne
    • Wzorce projektowe: singletony, metody wytwórcze oraz pyłki
    • Metody, kolekcje, i ukrywanie danych
    • Izolowanie JAR
    • Zaciemnianie kodu
    • Serializacja obiektu
  4. Kryptografia
    • Zagrożenia dla tożsamości i prywatności
    • Rozszerzenia kryptograficzne Javy
    • Klasa Signature
    • SignedObject
    • Rozszerzenia kryptograficzne w Javie
    • SecretKey i KeyGenerator
    • Klasa Cipher
    • Niebezpieczne praktyki
    • HTTP i JSSE
  5. JAAS
    • Dołączana logika uwierzytelniania
    • JAAS
    • Paczki i interfejsy
    • Subjects oraz Principals
    • AND oraz OR
    • Impersonation
    • Uprawnienia JASS
    • JAAS uprawnienia
    • LoginContext oraz LoginModule
    • Konfiguracja JAAS
    • CallbackHandler i wywołania zwrotne
    • Implementacja klienta JAAS
    • Implementacja LoginModule
  6. Java EE bezpieczeństwo
    • Serwery Java EE jako hosty kodu
    • Konfiguracja bezpieczeństwa Tomcat
    • Deklaracja ról
    • Zabezpieczanie URL
    • Schematy uwierzytelniania HTTP
    • Zabezpieczanie EJB
    • Bezpieczeństwo programowe
    • JAAS w Java EE
    • Realm i LoginModules
    • JAAS in Tomcat
    • JACC
    • Certyfikacja aplikacji Java EE
    • Konfiguracja HTTPS
  7. Praktyki bezpiecznego programowania: Java EE
    • Zagrożenia warstwy prezentacji
    • Konta użytkowników
    • MVC i bezpieczeństwo
    • Sprawdzane danych użytkownika
    • SQL Injection
    • Cross-Site Scripting
    • Reflected XSS
    • Zwalczanie XSS
    • OWASP
    • Testy penetracyjne
    • Obsługa błędów i wyciek informacji
    • Logowanie i audytowanie
Pobierz konspekt szkolenia w formacie PDF

Dodatkowe informacje

Wymagania wstępne
  • Solidne doświadczenie w programowaniu w Java, kurs 103 Java Programming jest doskonałym przygotowaniem.
  • Duże doświadczenie w programowaniu w Java EE nie jest wymagana, jednakże pewna wiedza o Java EE jest zalecana, kurs 108 Overview of Java EE Development jest zalecany.
Poziom trudności
Czas trwania 3 dni
Certyfikat

Uczestnicy szkolenia otrzymują certyfikat sygnowany przez firmę Capstone Courseware.
Prowadzący

Certyfikowany wykładowca Capstone Courseware.

Pozostałe szkolenia Capstone Courseware | Java Programming

Wszystkie szkolenia Capstone Courseware
Szkolenia powiązane tematycznie

Programowanie

Selenium | A4Q

Java Programming | Capstone Courseware

Java EE | Capstone Courseware

Open-Source Frameworks | Capstone Courseware

Databases | Capstone Courseware

XML and Web Services | Capstone Courseware

Web Foundations | CIW

Web and Mobile Design | CIW

Web Development | CIW

ICT | CIW

Developer | Cloudera

Data Scientist | Cloudera

Testy penetracyjne | Compendium CE

Web Design i Programowanie | Compendium CE

Vmware vSphere | HPE

HPE UNIX | HPE

Mobile Solutions | Micro Focus

Microsoft 365 | Microsoft

Microsoft SQL Server | Microsoft

Visual Studio | Microsoft

SharePoint | Microsoft

MTA: szkolenia podstawowe Microsoft | Microsoft

Microsoft AI | Microsoft

Power Platform | Microsoft

Web Application Security | Mile2

Java | Oracle

MySQL | Oracle

Application Development | Oracle

Python | Python Academy

Django | Python Academy

Szkolenia na zamówienie | Python Academy

Fundamentals | SCADEMY

C# | SCADEMY

C/C++ | SCADEMY

Java | SCADEMY

PHP | SCADEMY

Python | SCADEMY

WEB | SCADEMY

Cloud | SCADEMY

Cryptography | SCADEMY

Finance | SCADEMY

Healthcare | SCADEMY

Telecome | SCADEMY

Software design | SCADEMY

Software testing | SCADEMY

Linux | The Linux Foundation

Embedded Linux | The Linux Foundation

Hyperledger | The Linux Foundation

Node.js | The Linux Foundation

GraphQL | The Linux Foundation

Bezpieczeństwo IT

ClearPass | Aruba

Java EE | Capstone Courseware

Open-Source Frameworks | Capstone Courseware

XML and Web Services | Capstone Courseware

Core Training | Check Point

Product Training | Check Point

Web Security | CIW

ICT | CIW

Testy penetracyjne | Compendium CE

Informatyka śledcza | Compendium CE

Kryptografia | Compendium CE

Fortinet | Compendium CE

Security Awareness | Compendium CE

Bezpieczeństwo ICS/OT | Compendium CE

Security+ | CompTIA

CySA+ | CompTIA

CASP+ | CompTIA

Application Security Manager (ASM) | F5 Networks

Advanced WAF (AWAF) | F5 Networks

Access Policy Manager (APM) | F5 Networks

Advanced Firewall Manager (AFM) | F5 Networks

TrainingPass | F5 Networks

FortiGate Configuration and Administration | Fortinet

Management and Analysis | Fortinet

Advanced Products | Fortinet

Diagnostics and Troubleshooting | Fortinet

Networking and Security | Google Cloud

Security | Infoblox

ArcSight | Micro Focus

Data Protector | Micro Focus

Data Security | Micro Focus

Fortify | Micro Focus

Identify and Access Management | Micro Focus

Information Governance | Micro Focus

Operations Bridge | Micro Focus

Sentinel | Micro Focus

Service and Portfolio Management | Micro Focus

Azure | Microsoft

Microsoft 365 | Microsoft

Windows Server Technologies | Microsoft

PowerShell | Microsoft

MTA: szkolenia podstawowe Microsoft | Microsoft

Pen Testing & Ethical Hacking | Mile2

IS Management Leadership | Mile2

Incident Handling | Mile2

Web Application Security | Mile2

Cloud Security | Mile2

Forensics | Mile2

Disaster Recovery | Mile2

Healthcare | Mile2

IS Management | Mile2

Auditing | Mile2

Red vs Blue (Poligon) | Mile2

Security Awareness | Mile2

Oracle Database | Oracle

Strata Network Security | Palo Alto Networks

Prisma Cloud Security | Palo Alto Networks

Cortex Detection and Response | Palo Alto Networks

Information Security | PECB®

DefensePro | Radware

AppDirector | Radware

Fundamentals | SCADEMY

C# | SCADEMY

C/C++ | SCADEMY

Java | SCADEMY

PHP | SCADEMY

Python | SCADEMY

WEB | SCADEMY

Cloud | SCADEMY

Cryptography | SCADEMY

Finance | SCADEMY

Healthcare | SCADEMY

Telecome | SCADEMY

Software design | SCADEMY

Software testing | SCADEMY

Dark Web | SECO-Institute

Crisis Management | SECO-Institute

Data Protection | SECO-Institute

Enterprise Linux | SUSE

Content Analysis | Symantec

Linux | The Linux Foundation

Java

Java Programming | Capstone Courseware

Java EE | Capstone Courseware