利用 Java 应用程序中的漏洞并确保其安全

本课程是安全编码实践专项课程的一部分

位教师：Joubin Jabbari

访问权限由 New York State Department of Labor 提供

8,545 人已注册

4个模块

深入了解一个主题并学习基础知识。

66 条评论

中级等级

需要一些相关经验

2 周完成

在 10 小时一周

灵活的计划

自行安排学习进度

4个模块

深入了解一个主题并学习基础知识。

66 条评论

中级等级

需要一些相关经验

2 周完成

在 10 小时一周

灵活的计划

自行安排学习进度

您将学到什么

练习防范各种跨站脚本 (XSS) 攻击。
制定计划，减少网络应用程序中的注入漏洞。
制定策略和控制措施，提供安全的身份验证。
检查代码，查找并修补易受攻击的组件。

您将获得的技能

要了解的详细信息

可分享的证书

添加到您的领英档案

作业

4 任务¹

AI 评分请参见免责声明

授课语言：英语（English）

了解顶级公司的员工如何掌握热门技能

了解关于 Coursera for Business 的更多信息

Petrobras, TATA, Danone, Capgemini, P&G 和 L'Oreal 的徽标

积累特定领域的专业知识

本课程是安全编码实践专项课程专项课程的一部分

在注册此课程时，您还会同时注册此专项课程。

向行业专家学习新概念
获得对主题或工具的基础理解
通过实践项目培养工作相关技能
获得可共享的职业证书

该课程共有4个模块

在本课程中，我们将身兼数职。戴上 "攻击者 "的帽子后，我们将利用注入问题窃取数据，利用跨站脚本问题入侵用户浏览器，破解身份验证以访问为 "管理员 "保留的数据和功能，甚至利用易受攻击的组件在远程服务器上运行我们的代码并访问一些机密。我们还将戴上 "卫士帽"。我们将深入代码，修复这些问题的根源，并讨论各种缓解策略。为此，我们将利用 WebGoat（一个旨在教授渗透测试的 OWASP 项目）。WebGoat 是一个故意制造漏洞的应用程序，存在许多缺陷，我们将致力于修复其中的一些问题。最后，我们将修复 WebGoat 中的这些问题，并构建我们的补丁二进制文件。我们将一起讨论可帮助我们的在线资源，并找到有意义的方法来回馈更广大的应用安全社区。

在本模块中，您将能够使用 Git 和 GitHub 提取所需的源代码。你将能够在 Docker 容器中运行 WebGoat，并解释这样做的原因。您将能够描述跨站脚本攻击，并解释这些攻击是如何发生的以及如何防范。您将能够区分基于 DOM、反射和存储的跨站脚本攻击。练习如何防范各种跨站脚本攻击。

涵盖的内容

14个视频3篇阅读材料1个作业1次同伴评审5个讨论话题

14个视频总计89分钟

课程介绍 4分钟
本课程的资源和工具概述 5分钟
设置和跨站脚本简介 2分钟
在课程和项目中使用 Git 的技巧和窍门 9分钟
如何将 WebGoat 导入集成开发环境 8分钟
如何在 Docker 容器中运行 WebGoat 6分钟
注射攻击：它们是什么，如何影响我们 10分钟
跨站脚本 (XSS)，第 1 部分 10分钟
防范跨站脚本攻击 (XSS)，第 2 部分 9分钟
反射式跨站脚本 (XSS) 补丁，第 3 部分 6分钟
存储跨站脚本 (XSS) 14分钟
跨站脚本 (XSS) 攻击的危害 4分钟
关于在 WebGoat 上查找课程的说明 1分钟
实验室简介（同行评审） 2分钟

3篇阅读材料总计80分钟

加州大学戴维斯分校的说明 10分钟
OWASP 跨站点脚本防护手册 60分钟
关于同行评审作业的说明 10分钟

1个作业总计30分钟

第 1 单元测验 30分钟

1次同伴评审总计120分钟

WebGoat 跨站脚本 (XSS) 120分钟

5个讨论话题总计95分钟

学习目标 10分钟
WebGoat 活动：试试看反射 XSS 30分钟
WebGoat 活动：试试看反射 XSS（再次） 20分钟
防范跨站脚本 (XSS) 攻击的重要性 20分钟
跨站脚本 (XSS) 实验室开放讨论区 15分钟

在本模块中，您将能够利用 SQL 注入漏洞和表单计划来缓解网络应用程序中的注入漏洞。您将能够讨论查找和修复 XML、实体和 SQL 攻击漏洞的各种方法。您将能够描述和防范 "中间人 "攻击，并描述通过 "戴上攻击者的帽子 "来查找 SQL 注入漏洞的思维过程。在使用 XML 查看器和文本编辑器查找漏洞时，您将能够演示如何正确修改查询，使其进入准备语句和分析代码。您还将能够浏览大型代码库，找到关键代码段并修补漏洞。

涵盖的内容

10个视频2篇阅读材料1个作业1次同伴评审3个讨论话题

10个视频总计80分钟

注入攻击 2分钟
教程：使用代理拦截客户端到服务器的流量 7分钟
SQL 语法和基础知识：戴上攻击者的帽子 10分钟
SQL 注入攻击（SQLi）的解决方案 8分钟
SQL 注入攻击：代码评估 13分钟
XML 外部实体 (XXE) 攻击 8分钟
演示如何利用 XML 外部实体 (XXE) 攻击实现远程代码执行 (RCE) 6分钟
通过 REST 框架评估代码 - XXE 8分钟
解决方案：通过 REST 框架评估代码 - XXE 8分钟
修补 XXE 漏洞 10分钟

2篇阅读材料总计90分钟

OWASP SQL 注入防范手册 45分钟
OWASP XML 外部实体防范手册 45分钟

1个作业总计30分钟

第二单元测验 30分钟

1次同伴评审总计120分钟

WebGoat SQL 注入 120分钟

3个讨论话题总计75分钟

WebGoat 活动：试试看字符串 SQL 注入 30分钟
WebGoat 活动：XXE（XML 外部实体） 30分钟
注入式攻击实验室公开讨论论坛 15分钟

通过本模块的学习，您将能够评估各种身份验证缺陷，找出潜在问题，并制定策略和控制措施来提供安全的身份验证。您将能够创建和/或实施控制，以减少身份验证绕过，并从其他用户身份验证失败的著名案例中吸取教训。您将能够正确实施 JSON Web 标记 (JWT) 等身份验证方法。您将能够发现大型代码库中的漏洞，并提供演示和利用 JSON Web 标记 (JWT) 的解决方案。