架構(gòu)師
其他
運(yùn)維
工程師
Java
推薦課程
average > 0 ? $model->average . '分' : '10.0分' ?>

網(wǎng)絡(luò)安全代碼審計(jì)實(shí)戰(zhàn)

劉捷

某AI人工智能公司咨詢團(tuán)隊(duì) 首席顧問(wèn)

獲得計(jì)算機(jī)碩士學(xué)位。畢業(yè)后在國(guó)外工作多年。回國(guó)后加入IBM中國(guó)研發(fā)中心,BEA中國(guó)研發(fā)中心,oracle中國(guó)研發(fā)中心,阿里云,京東等多家互聯(lián)網(wǎng)研發(fā)中心咨詢顧問(wèn)等。最近幾年帶隊(duì)完成了數(shù)十個(gè)AI項(xiàng)目,內(nèi)容不僅包括深度學(xué)習(xí)、機(jī)器學(xué)習(xí)、數(shù)據(jù)挖掘等具體技術(shù)要點(diǎn),也包括AI的整體發(fā)展、現(xiàn)狀、應(yīng)用、商業(yè)價(jià)值、未來(lái)方向等,涵蓋內(nèi)容非常豐富。完成多個(gè)深度學(xué)習(xí)實(shí)踐項(xiàng)目,廣泛應(yīng)用于醫(yī)療、交通、農(nóng)業(yè)、氣象、銀行、電信等多個(gè)領(lǐng)域。
從2023年推出的多門(mén)課程《AI大模型賦能行業(yè)應(yīng)用與解決方案》《AI 大模型輔助軟件研發(fā)管理與效能提升》和《AI大模型技術(shù)及開(kāi)發(fā)應(yīng)用實(shí)踐
》更是廣受歡迎,已經(jīng)為幾十家企業(yè)培訓(xùn),如Autodesk中國(guó)研發(fā)中心,思科(合肥,杭州,上海)研發(fā)中心,中信銀行研發(fā)中心,中信證券研發(fā)中心,平安壽險(xiǎn),平安產(chǎn)險(xiǎn),平安銀行,平安租賃,中興(南京,深圳,上海,西安)研發(fā)中心,華為,民航信,NTT DATA,北京體彩,海爾集團(tuán),聯(lián)想研發(fā)中信,等;作為一名AI技術(shù)專家,對(duì)人工智能的理解深入透徹。他不僅精通AI的編程技術(shù),還熟悉各種AI工具的使用,尤其在AI行業(yè)應(yīng)用更是有著獨(dú)特的見(jiàn)解和實(shí)踐經(jīng)驗(yàn);自從2023年以來(lái)幫助多家研發(fā)中心做AI輔助開(kāi)發(fā)效能提升咨詢服務(wù)。同時(shí)也是微軟人工智能認(rèn)證工程師,阿里云AI人工智能訓(xùn)練師。

獲得計(jì)算機(jī)碩士學(xué)位。畢業(yè)后在國(guó)外工作多年?;貒?guó)后加入IBM中國(guó)研發(fā)中心,BEA中國(guó)研發(fā)中心,oracle中國(guó)研發(fā)中心,阿里云,京東等多家互聯(lián)網(wǎng)研發(fā)中心咨詢顧問(wèn)等。最近幾年帶隊(duì)完成了數(shù)十個(gè)AI項(xiàng)目,內(nèi)容不僅包括深度學(xué)習(xí)、機(jī)器學(xué)習(xí)、數(shù)據(jù)挖掘等具體技術(shù)要點(diǎn),也包括AI的整體發(fā)展、現(xiàn)狀、應(yīng)用、商業(yè)價(jià)值、未來(lái)方向等,涵蓋內(nèi)容非常豐富。完成多個(gè)深度學(xué)習(xí)實(shí)踐項(xiàng)目,廣泛應(yīng)用于醫(yī)療、交通、農(nóng)業(yè)、氣象、銀行、電信等多個(gè)領(lǐng)域。 從2023年推出的多門(mén)課程《AI大模型賦能行業(yè)應(yīng)用與解決方案》《AI 大模型輔助軟件研發(fā)管理與效能提升》和《AI大模型技術(shù)及開(kāi)發(fā)應(yīng)用實(shí)踐 》更是廣受歡迎,已經(jīng)為幾十家企業(yè)培訓(xùn),如Autodesk中國(guó)研發(fā)中心,思科(合肥,杭州,上海)研發(fā)中心,中信銀行研發(fā)中心,中信證券研發(fā)中心,平安壽險(xiǎn),平安產(chǎn)險(xiǎn),平安銀行,平安租賃,中興(南京,深圳,上海,西安)研發(fā)中心,華為,民航信,NTT DATA,北京體彩,海爾集團(tuán),聯(lián)想研發(fā)中信,等;作為一名AI技術(shù)專家,對(duì)人工智能的理解深入透徹。他不僅精通AI的編程技術(shù),還熟悉各種AI工具的使用,尤其在AI行業(yè)應(yīng)用更是有著獨(dú)特的見(jiàn)解和實(shí)踐經(jīng)驗(yàn);自從2023年以來(lái)幫助多家研發(fā)中心做AI輔助開(kāi)發(fā)效能提升咨詢服務(wù)。同時(shí)也是微軟人工智能認(rèn)證工程師,阿里云AI人工智能訓(xùn)練師。

課程費(fèi)用

6800.00 /人

課程時(shí)長(zhǎng)

2

成為教練

課程簡(jiǎn)介

本課程目的是為網(wǎng)絡(luò)安全行業(yè)培養(yǎng)合格的人才。網(wǎng)絡(luò)安全人才的培養(yǎng)是一項(xiàng)艱巨的任務(wù),其中代碼審計(jì)人才更是“稀缺資源”。本課程分為4部分。
第1部分 代碼審計(jì)基礎(chǔ),內(nèi)容包括開(kāi)發(fā)環(huán)境搭建、代碼審計(jì)環(huán)境搭建。
第2部分 常見(jiàn)漏洞審計(jì),介紹了多種常見(jiàn)漏洞的成因以及審計(jì)和修復(fù)的技巧。
第3部分 常見(jiàn)的框架漏洞,介紹了Java開(kāi)發(fā)中經(jīng)常使用的一些框架的典型漏洞,如Spring、Struts2等的命令執(zhí)行漏洞。
第4部分 代碼審計(jì)實(shí)戰(zhàn),通過(guò)對(duì)真實(shí)環(huán)境下的Java應(yīng)用程序進(jìn)行審計(jì),向讀者詳細(xì)介紹了Java代碼審計(jì)的技巧與方法。

本課程可供軟件開(kāi)發(fā)工程師、網(wǎng)絡(luò)運(yùn)維人員、滲透測(cè)試工程師、網(wǎng)絡(luò)安全工程師,以及想要從事網(wǎng)絡(luò)安全工作的人員閱讀。

目標(biāo)收益

培訓(xùn)對(duì)象

課程大綱

第一部分:代碼安全審計(jì)基本原理 1.典型漏洞代碼案例分析
2.代碼審計(jì)的基本思想
3.代碼審計(jì)的現(xiàn)狀
4.代碼審計(jì)對(duì)象
5.代碼審計(jì)的目的
6.代碼審計(jì)的原則
7.代碼審計(jì)要素
8.代碼審計(jì)的內(nèi)容
9.代碼審計(jì)與漏洞驗(yàn)證相關(guān)工具
10.代碼審計(jì)方法
11.代碼審計(jì)技術(shù)
12.代碼審計(jì)指標(biāo) 
第二部分:java代碼安全審計(jì) 1.Java代碼審計(jì)所需的基礎(chǔ)能力
2.代碼審計(jì)的常用思路 
3.代碼審計(jì)輔助工具簡(jiǎn)介
4.測(cè)試工具 
5.反編譯工具
6.ClassLoader類加載機(jī)制 
7.Java動(dòng)態(tài)代理
8.可用于Java Web的安全開(kāi)發(fā)框架
9.Java代碼靜態(tài)掃描工具 
10.FindBugs與FindSecBugs插件
11.公開(kāi)漏洞查找平臺(tái)
12.《Java語(yǔ)言源代碼漏洞測(cè)試規(guī)范》解讀
13.Java源代碼漏洞測(cè)試總則
14.Java源代碼漏洞測(cè)試工具
15.Java源代碼漏洞測(cè)試文檔
16.Java源代碼漏洞測(cè)試內(nèi)容
第三部分: 常見(jiàn)漏洞審計(jì)(上) 1.SQL注入漏洞
2.執(zhí)行SQL語(yǔ)句的幾種方式
3.常見(jiàn)Java SQL注入
4.常規(guī)注入代碼審計(jì)
5.二次注入代碼審計(jì)
6.SQL注入漏洞修復(fù)
7.任意文件上傳漏洞
8.常見(jiàn)文件上傳方式
9.文件上傳漏洞審計(jì)
10.文件上傳漏洞修復(fù)
11.XSS漏洞
12.XSS常見(jiàn)觸發(fā)位置
13.反射型XSS
14.存儲(chǔ)型XSS
15.XSS漏洞修復(fù)
16.目錄穿越漏洞
17.目錄穿越漏洞簡(jiǎn)介
18.目錄穿越漏洞審計(jì)
19.目錄穿越漏洞修復(fù)
20.URL跳轉(zhuǎn)漏洞
21.URL重定向
22.URL跳轉(zhuǎn)漏洞審計(jì)
23.URL跳轉(zhuǎn)漏洞修復(fù)
24.命令執(zhí)行漏洞
25.命令執(zhí)行漏洞簡(jiǎn)介
26.ProcessBuilder命令執(zhí)行漏洞
27.Runtime exec命令執(zhí)行漏洞
28.命令執(zhí)行漏洞修復(fù)
第四部分: 常見(jiàn)漏洞審計(jì)(下) 1.XXE漏洞
2.XML的常見(jiàn)接口
3.XXE漏洞審計(jì)
4.XXE漏洞修復(fù)
5.SSRF漏洞
6.SSRF漏洞簡(jiǎn)介
7.SSRF漏洞常見(jiàn)接口
8.SSRF漏洞審計(jì)
9.SSRF漏洞修復(fù)
10.SpEL表達(dá)式注入漏洞
11.SpEL介紹
12.SpEL漏洞
13.SpEL漏洞審計(jì)
14.SpEL漏洞修復(fù)
15.Java反序列化漏洞
16.Java序列化與反序列化
17.Java反序列化漏洞審計(jì)
18.Java反序列化漏洞修復(fù)
19.SSTI模板注入漏洞
20.SSTI漏洞審計(jì)
21.SSTI漏洞修復(fù)
22.整數(shù)溢出漏洞
23.整數(shù)溢出漏洞介紹
24.整數(shù)溢出漏洞修復(fù)
25.硬編碼密碼漏洞
26.不安全的隨機(jī)數(shù)生成器
第五部分: 常見(jiàn)的java 框架漏洞 1.Spring框架
2.CVE-2018-1260 Spring Security OAuth2 RCE
3.CVE-2018-1273 Spring Data Commons RCE
4.CVE-2017-8046 Spring Data Rest RCE
5.Struts2介紹
6.OGNL表達(dá)式介紹
7.S2-045遠(yuǎn)程代碼執(zhí)行漏洞
8.S2-048遠(yuǎn)程代碼執(zhí)行漏洞
9.S2-057遠(yuǎn)程代碼執(zhí)行漏洞
10.OWASP 0 2017”漏洞的代碼審計(jì)
11.OWASP 0 2017”之外常見(jiàn)漏洞的代碼審計(jì)
12.Java EE開(kāi)發(fā)框架安全審計(jì)
13.Jspxcms代碼審計(jì)實(shí)戰(zhàn)
第一部分:代碼安全審計(jì)基本原理
1.典型漏洞代碼案例分析
2.代碼審計(jì)的基本思想
3.代碼審計(jì)的現(xiàn)狀
4.代碼審計(jì)對(duì)象
5.代碼審計(jì)的目的
6.代碼審計(jì)的原則
7.代碼審計(jì)要素
8.代碼審計(jì)的內(nèi)容
9.代碼審計(jì)與漏洞驗(yàn)證相關(guān)工具
10.代碼審計(jì)方法
11.代碼審計(jì)技術(shù)
12.代碼審計(jì)指標(biāo) 
第二部分:java代碼安全審計(jì)
1.Java代碼審計(jì)所需的基礎(chǔ)能力
2.代碼審計(jì)的常用思路 
3.代碼審計(jì)輔助工具簡(jiǎn)介
4.測(cè)試工具 
5.反編譯工具
6.ClassLoader類加載機(jī)制 
7.Java動(dòng)態(tài)代理
8.可用于Java Web的安全開(kāi)發(fā)框架
9.Java代碼靜態(tài)掃描工具 
10.FindBugs與FindSecBugs插件
11.公開(kāi)漏洞查找平臺(tái)
12.《Java語(yǔ)言源代碼漏洞測(cè)試規(guī)范》解讀
13.Java源代碼漏洞測(cè)試總則
14.Java源代碼漏洞測(cè)試工具
15.Java源代碼漏洞測(cè)試文檔
16.Java源代碼漏洞測(cè)試內(nèi)容
第三部分: 常見(jiàn)漏洞審計(jì)(上)
1.SQL注入漏洞
2.執(zhí)行SQL語(yǔ)句的幾種方式
3.常見(jiàn)Java SQL注入
4.常規(guī)注入代碼審計(jì)
5.二次注入代碼審計(jì)
6.SQL注入漏洞修復(fù)
7.任意文件上傳漏洞
8.常見(jiàn)文件上傳方式
9.文件上傳漏洞審計(jì)
10.文件上傳漏洞修復(fù)
11.XSS漏洞
12.XSS常見(jiàn)觸發(fā)位置
13.反射型XSS
14.存儲(chǔ)型XSS
15.XSS漏洞修復(fù)
16.目錄穿越漏洞
17.目錄穿越漏洞簡(jiǎn)介
18.目錄穿越漏洞審計(jì)
19.目錄穿越漏洞修復(fù)
20.URL跳轉(zhuǎn)漏洞
21.URL重定向
22.URL跳轉(zhuǎn)漏洞審計(jì)
23.URL跳轉(zhuǎn)漏洞修復(fù)
24.命令執(zhí)行漏洞
25.命令執(zhí)行漏洞簡(jiǎn)介
26.ProcessBuilder命令執(zhí)行漏洞
27.Runtime exec命令執(zhí)行漏洞
28.命令執(zhí)行漏洞修復(fù)
第四部分: 常見(jiàn)漏洞審計(jì)(下)
1.XXE漏洞
2.XML的常見(jiàn)接口
3.XXE漏洞審計(jì)
4.XXE漏洞修復(fù)
5.SSRF漏洞
6.SSRF漏洞簡(jiǎn)介
7.SSRF漏洞常見(jiàn)接口
8.SSRF漏洞審計(jì)
9.SSRF漏洞修復(fù)
10.SpEL表達(dá)式注入漏洞
11.SpEL介紹
12.SpEL漏洞
13.SpEL漏洞審計(jì)
14.SpEL漏洞修復(fù)
15.Java反序列化漏洞
16.Java序列化與反序列化
17.Java反序列化漏洞審計(jì)
18.Java反序列化漏洞修復(fù)
19.SSTI模板注入漏洞
20.SSTI漏洞審計(jì)
21.SSTI漏洞修復(fù)
22.整數(shù)溢出漏洞
23.整數(shù)溢出漏洞介紹
24.整數(shù)溢出漏洞修復(fù)
25.硬編碼密碼漏洞
26.不安全的隨機(jī)數(shù)生成器
第五部分: 常見(jiàn)的java 框架漏洞
1.Spring框架
2.CVE-2018-1260 Spring Security OAuth2 RCE
3.CVE-2018-1273 Spring Data Commons RCE
4.CVE-2017-8046 Spring Data Rest RCE
5.Struts2介紹
6.OGNL表達(dá)式介紹
7.S2-045遠(yuǎn)程代碼執(zhí)行漏洞
8.S2-048遠(yuǎn)程代碼執(zhí)行漏洞
9.S2-057遠(yuǎn)程代碼執(zhí)行漏洞
10.OWASP 0 2017”漏洞的代碼審計(jì)
11.OWASP 0 2017”之外常見(jiàn)漏洞的代碼審計(jì)
12.Java EE開(kāi)發(fā)框架安全審計(jì)
13.Jspxcms代碼審計(jì)實(shí)戰(zhàn)

課程費(fèi)用

6800.00 /人

課程時(shí)長(zhǎng)

2

預(yù)約體驗(yàn)票 我要分享

近期公開(kāi)課推薦

近期公開(kāi)課推薦

活動(dòng)詳情

提交需求