Děkujeme za vaši dotaz! Jeden z našich pracovníků vás brzy kontaktuje.
Děkujeme za rezervaci! Jeden z našich pracovníků vás brzy kontaktuje.
Návrh Školení
1. IT bezpečnost a bezpečné kódování
- Základní principy zabezpečení: Důvěrnost, integrita a dostupnost (CIA) v kontextu aplikací Java.
- Životní cyklus zabezpečeného vývoje softwaru (SSDLC): Integrace zabezpečení od požadavků po nasazení.
- Paradigma bezpečného kódování: Obrana v hloubce, nejnižší možná oprávnění a výchozí hodnoty fail-safe.
- Standardní klasifikace zranitelností: Pochopení CWE (Common Weakness Enumeration) a OWASP.
2. Bezpečnost webových aplikací
- Hluboká analýza OWASP Top Ten: Detailní rozbor Injectování, zlomeného ověřování a odhalování citlivých dat.
- Cross-Site Scripting (XSS): Scénáře reflektovaného, uloženého a DOM-based XSS v Javě/JSP.
- Cross-Site Request Forgery (CSRF): Mechanismy útoku a implementace tokenů proti CSRF.
- Správa session: Bezpečnost souborů cookie, fixace session a správa časového limitu.
- Bezpečnost API: Zabezpečení REST a SOAP endpointů před zneužitím.
3. Bezpečnost webových služeb
- Webové služby vs. tradiční webové aplikace: Rozdíly v povrchu útoku.
- Zabezpečení transportní vrstvy: Konfigurace SSL/TLS pro klienty a servery Javy.
- Zabezpečení zpráv: Integrita a důvěrnost na úrovni užitečné nálože (payload).
- Standardy ověřování: Implementace OAuth 2.0, OpenID Connect a JWT (JSON Web Tokens).
4. Bezpečnost XML
- Zranitelnosti parsování XML: Prevence útoků XML External Entity (XXE).
- Validace XML schématu: Nejlepší postupy pro přísné vynucování schématu.
- Digitální podpisy XML: Implementace podpisů pro zajištění nezapřísahání (non-repudiation).
- Šifrování XML: Standardní přístupy k šifrování obsahu XML.
5. Základy zabezpečení Javy
- Architektura zabezpečení Javy: Balíček
java.securitya architektura poskytovatelů. - Bezpečnostní poskytovatelé: Instalace a konfigurace poskytovatelů, jako je Bouncy Castle.
- Kontrola přístupu: Soubory politik, oprávnění a Security Manager (Legacy vs. Moderní).
- Správa KeyStore: Vytváření a správa keystoreů a truststoreů pro certifikáty.
6. Praktická kryptografie
- Kryptografické algoritmy: Přehled symetrických (AES), asymetrických (RSA, ECC) a hašovací (SHA-256/512) algoritmů.
- Generování náhodných čísel: Nebezpečí
java.util.Randomvs.java.security.SecureRandom. - Správa klíčů: Generování, uložení a strategie rotace klíčů.
- Architektura kryptografie Javy (JCA): Používání tříd
Cipher,MessageDigestaMac. - Rozšíření kryptografie Javy (JCE): Pochopení souborů politik a neomezené síly jurisdikce.
7. Bezpečnostní služby Javy
- SSL/TLS v Javě: Používání
SSLSocketFactoryaHttpsURLConnection. - Menadžery důvěry: Přizpůsobení ověřování důvěry pro soukromé prostředí PKI.
- Autentizátoři: Programové ověřování pomocí
Authenticator.getDefault(). - Parsování certifikátů: Čtení a analýza certifikátů X.509 programově.
8. Bezpečnost Java EE
- Deklarativní bezpečnost: Řízení přístupu založené na rolích (RBAC) pomocí
web.xmla anotací. - Programová bezpečnost: Používání
HttpServletRequest.isUserInRole()agetRemoteUser(). - JAAS (Java Authentication and Authorization Service): Konfigurace
login.confa implementaceLoginModule. - Bezpečnost servletů: Vynucování bezpečnostních omezení a metody ověřování spravované kontejnerem (FORM, BASIC, DIGEST).
9. Běžné chyby v kódování a zranitelnosti
- Nesprávná deserializace: Rizika
ObjectInputStreama obcházení bezpečnostních kontrol. - Injectování příkazů: Mitigace zranitelností na úrovni OS pro provedení kódu.
- Traversal cest: Sanitizace vstupů souborového systému pro prevenci traversingu adresářů.
- Zneužití reflexe: Rizika spojená s
java.lang.reflecta obcházením kontroly přístupu. - Pevně zakódované přihlašovací údaje: Identifikace a odstranění tajemství ze zdrojového kódu.
- Chyby při implementaci kryptografie: Používání režimu ECB, slabých klíčů nebo statických IV.
10. Zdroje znalostí
- Nástroje statické analýzy: Používání SonarQube, Checkmarx a Fortify pro automatizované skenování.
- Nástroje dynamické analýzy: Přehled Burp Suite a OWASP ZAP.
- Databáze CVE: Jak sledovat a reagovat na nové zranitelnosti v rámci Javy.
- Doporučená literatura: Seznam knih, dokumentace a seznamů kontrol bezpečného kódování.
Požadavky
Žádné.
21 Hodiny
Reference (4)
znalost trénера byla velmi vysoká - věděl, o čem mluví, a znal odpovědi na naše otázky
Adam - Fireup.PRO
Kurz - Advanced Java Security
Přeloženo strojem
Praktické cvičení
Olek - Fireup.PRO
Kurz - Advanced Java Security
Přeloženo strojem
kódovací cvičení
Mirek - Fireup.PRO
Kurz - Advanced Java Security
Přeloženo strojem
Otevírá to mnoho příležitostí a poskytuje hluboké přehledy o bezpečnosti
Nolbabalo Tshotsho - Vodacom SA
Kurz - Advanced Java Security
Přeloženo strojem
