Bedankt voor uw aanvraag! Een van onze medewerkers neemt binnenkort contact met u op
Bedankt voor uw boeking! Een van onze medewerkers neemt binnenkort contact met u op.
Cursusaanbod
1. IT-beveiliging en secure coding
- Fundamentele beveiligingsprincipes: Vertrouwelijkheid, integriteit en beschikbaarheid (CIA) in de context van Java-toepassingen.
- Veilige Software Ontwikkelingscyclus (SSDLC): Integreren van beveiliging van vereisten tot implementatie.
- Paradigma's voor veilige codering: Defense in depth, least privilege en fail-safe defaults.
- Standaard classificaties van kwetsbaarheden: Begrijpen van CWE (Common Weakness Enumeration) en OWASP.
2. Beveiliging van webapplicaties
- Diepgaande analyse van OWASP Top Ten: Gedetailleerde analyse van Infiltratie (Injection), gebroken authenticatie en de blootstelling van gevoelige gegevens.
- Cross-Site Scripting (XSS): Reflected, Stored en DOM-based XSS-scenario's in Java/JSP.
- Cross-Site Request Forgery (CSRF): Aanvalmechanismen en implementatie van Anti-CSRF-tokens.
- Sessiebeheer: Cookie-beveiliging, sessiefixatie en tijdbeheer.
- API-beveiliging: Het beveiligen van REST- en SOAP-eindpunten tegen misbruik.
3. Beveiliging van webdiensten
- Webdiensten versus traditionele webapplicaties: Verschillen in aanvalsoppervlakken.
- Transport Layer Security: SSL/TLS-configuratie voor Java-clients en servers.
- Berichtbeveiliging: Integriteit en vertrouwelijkheid op het payload-niveau.
- Authenticatiestandaarden: Implementatie van OAuth 2.0, OpenID Connect en JWT (JSON Web Tokens).
4. XML-beveiliging
- XML-parsing kwetsbaarheden: Voorkomen van XML External Entity (XXE)-aanvallen.
- XML-schema-validatie: Best practices voor strikte schema-handhaving.
- XML-digitaal handtekeningen: Implementeren van handtekeningen om non-repudiation te garanderen.
- XML-encryptie: Standaardbenaderingen voor het versleutelen van XML-inhoud.
5. Fundamenten van Java-beveiliging
- De Java-beveiligingsarchitectuur: Het
java.security-pakket en provider-architectuur. - Beveiligingsproviders: Installeren en configureren van providers zoals Bouncy Castle.
- Toegangscontrole: Beleidbestanden, rechten en de Security Manager (Verouderd versus modern).
- KeyStore-beheer: Maken en beheren van keystores en truststores voor certificaten.
6. Praktische cryptografie
- Cryptografische algoritmen: Overzicht van Symmetrische (AES), Asymmetrische (RSA, ECC) en Hashing (SHA-256/512) algoritmen.
- Willekeurige getalgeneratie: De gevaren van
java.util.Randomvs.java.security.SecureRandom. - Key Management: Strategieën voor het genereren, opslaan en roteren van sleutels.
- Java Cryptography Architecture (JCA): Het gebruik van
Cipher,MessageDigestenMacklassen. - Java Cryptography Extension (JCE): Begrijpen van beleidsbestanden en jurisdicties zonder beperkte sterkte.
7. Java-beveiligingsdiensten
- SSL/TLS in Java: Het gebruik van
SSLSocketFactoryenHttpsURLConnection. - Trust Managers: Aanpassen van trust-verificatie voor eigen PKI-omgevingen.
- Authenticators: Programmatica-gestuurde authenticatie met behulp van
Authenticator.getDefault(). - Certificaatparsen: Programmatisch lezen en analyseren van X.509-certificaten.
8. Java EE-beveiliging
- Declaratieve beveiliging: Rol-gebaseerde toegangscontrole (RBAC) met behulp van
web.xmlen annotaties. - Programmatica-beveiliging: Het gebruik van
HttpServletRequest.isUserInRole()engetRemoteUser(). - JAAS (Java Authentication and Authorization Service): Configureren van
login.confen implementeren vanLoginModules. - Servlet-beveiliging: Door de container beheerde veiligheidsbeperkingen en authenticatiemethoden (FORM, BASIC, DIGEST).
9. Veelvoorkomende programmeerfouten en kwetsbaarheden
- Insecure Deserialisatie: De risico's van
ObjectInputStreamen het omzeilen van veiligheidscontroles. - Command Injection: Mitigeren van OS-niveau uitvoeringskwetsbaarheden.
- Path Traversal: Sanitizing van bestandssysteeminputs om directory traversal te voorkomen.
- Misbruik van Reflectie: Risico's geassocieerd met
java.lang.reflecten het omzeilen van toegangscontrole. - Harde coded wachtwoorden: Identificeren en verwijderen van geheimen uit broncode.
- Fouten bij implementatie van cryptografie: Het gebruik van ECB-modus, zwakke sleutels of statische IVs.
10. Kennisbronnen
- Statische analysetools: Het gebruik van SonarQube, Checkmarx en Fortify voor geautomatiseerde scans.
- Dynamic Analysis Tools: Overzicht van Burp Suite en OWASP ZAP.
- CVE-databases: Hoe nieuwe Java-framework-kwetsbaarheden te volgen en hierop te reageren.
- Aanbevolen literatuur: Lijst van boeken, documentatie en checklists voor veilige coding.
Vereisten
Geen.
21 Uren
Aangepaste bedrijfsopleiding
Opleidingsoplossingen ontworpen exclusief voor bedrijven.
- Aangepaste inhoud: We passen de syllabus en praktijkopdrachten aan naar de echte doelen en behoeften van uw project.
- Voor flexibel schema: Datums en tijden aangepast aan het rooster van uw team.
- Formaat: Online (live), In-company (bij uw kantoren) of Hybride.
Prijs per privégroep, online live training, startend vanaf 4800 € + BTW*
Neem contact met ons op voor een exacte offerte en om onze laatste promoties te horen
Reviews (4)
de kennis van de trainer was zeer hoog - hij wist waarover hij het had en kon antwoord geven op onze vragen
Adam - Fireup.PRO
Cursus - Advanced Java Security
Automatisch vertaald
Praktische oefeningen
Olek - Fireup.PRO
Cursus - Advanced Java Security
Automatisch vertaald
coderingsopdrachten
Mirek - Fireup.PRO
Cursus - Advanced Java Security
Automatisch vertaald
Het biedt veel inzicht in de beveiliging
Nolbabalo Tshotsho - Vodacom SA
Cursus - Advanced Java Security
Automatisch vertaald
