Video description
本视频课程将为开发人员提供安全实现Java串行化的实用指南。
概要介绍
安全编码专家Robert C. Seacord会指导开发人员理解Java串行化和固有的安全风险。Seacord还展示了如何安全地实现可串行化的类,以及如何评估移植策略和候选解决方案。
Java反串行化是一个广泛应用的不安全的语言特性。它不仅由应用直接使用,而且由Java模块和库间接使用。不可信流的反串行化会导致远程代码执行(RCE)、拒绝服务攻击(DoS)和大量其他漏洞。即使没有编码问题,应用也很容易遭到这些攻击。
相关资料:
Secure Coding Rules in Java: Part 1视频课程(视频)
The CERT Oracle Secure Coding Standard for Java(图书)
Java Coding Guidelines: 75 Recommendations for Reliable and Secure Programs(图书)
● 理解Java对象串行化
● 理解串行化安全风险
● 理解反串行化漏洞
● 理解如何安全地实现可串行化的类
● 学会评估移植策略
● 学会评估候选解决方案
Table of contents
- 引言
-
串行化
- 1.1理解Java对象串行化
- 1.2理解Java对象外部化
- 1.3理解串行化安全风险
- 1.4理解反串行化漏洞
- 1.5为可串行化的类指定版本
- 1.6不要串行化未加密的敏感数据
- 1.7使用定制串行化形式
- 1.8使用正确的串行化方法签名
- 1.9不要在反串行化期间调用类似defaultReadObject的可覆盖的方法
- 1.10反串行化时维持不变式
- 1.11防御性地写readObject方法
- 1.12使用enum类型实现实例控制
- 1.13使用串行化代理而不是串行化的实例
- 1.14不要串行化内部类
- 1.15为可串行化和可外部化的类添加readObjectNoData方法
- 1.16S签名并密封对象
- 1.17避免扩展实现了Serializable的类或接口
- 1.18使用LAOIS缓解反串行化漏洞
- 1.19为串行化和反串行化应用合适的安全权限
- 1.20防止由于在流中缓存对象而丢失状态
- 1.21当心Java串行化的替代方案
- 小结
Product information
- Title: Java安全编码规则:Java串行化
- Author(s):
- Release date: March 2018
- Publisher(s): Pearson
- ISBN: 8882021010410
You might also like
video
TensorFlow深度学习课程:深度神经网络在机器学习任务的应用
课程简介 6小时以上的视频教学 TensorFlow深度学习在线课程是一个关于深度学习的教学,通过最流行的深度学习库TensorFlow及其高级API Keras的交互演示,将革命性的机器学习方法带入生活。通过白板,介绍了其基础理论,提供了一个对深度学习基础内容的直观理解,该基础即人工神经网络。基于Python的Jupyter笔记本中提供了克服常见陷阱的技巧,以及实际可操作可运行的代码,通过应用这些技巧和代码,掌握这种基础知识,可使那些以前不了解神经网络的人能够构建强大的最先进的深度学习模型。 Get技能 解释深度学习模型结果 调试和改进深度学习模型 理解人工神经网络语言和基础 建立你自己的深度学习项目
video
面向自然语言处理的深度学习课程:深度神经网络在机器学习任务的应用
课程简介 5+ 小时 自然语言处理的深度学习直播课是使用深度学习模型处理自然语言数据的直观介绍。是使用深度学习处理自然语言的简介。这些课程通过互动的、实际操作的Jupyter notbokke示例对基本理论进行生动直观的解释。示例使用Python和Keras,这是最流行的深度学习库TensorFlow的高级API。在前期课程中,我们讨论了处理自然语言数据的细节,包括如何将自然语言转换为可以通过机器学习方法轻松处理的数值表示。在后面的课程中,我们将学习利用最先进的深度学习架构来使用自然语言数据进行预测。 Get技能 学习如何 ●机器学习应用的自然语言数据预处理 ●用word2vec将自然语言转换为数值表示 ●利用自然语言训练的深度学习模型进行预测 ●将最先进的NLP算法应用于Keras,即高级TensorFlow API ●通过调整超参数提高深度学习模型的性能
video
黑客网络应用
课程简介 超过5个小时的视频指导,帮助您学习道德白帽、渗透测试和安全态势评估,包括危害、分析和减轻web应用程序漏洞的方法, 白帽Web应用程序(白帽的艺术系列)在线课程逐步示范了Web应用程序漏洞的安全评估(渗透测试)。 本课程将展示如何为网络应用测试建立一个渗透测试实验室,你将学习如何执行侦察和分析。完成这些初始步骤后,您将了解如何利用多种漏洞,包括身份验证、会话管理、基于注入的方法、跨站点脚本编写、跨站点请求伪造和它们的加密实现。您还将学习如何评估和执行应用程序编程接口(API)危害、客户端危害和其他web应用程序漏洞危害。 本课程的主要目标不是执行恶意危害,而是为您提供逐步的指导,以便您可以学习道德白帽、渗透测试和安全态势评估,因为它与web应用程序有关。通过本课程教授的技能,您将了解到许多前沿危害安全技术相关的各种概念。课程包含多媒体教程和动手演示,用户可以适用于真实场景,并且网络安全资深专家奥马尔·桑托斯为感兴趣的人提供了一些关键建议,包括如何成为一个职业道德白帽,或仅仅是跟上不断变化的漏洞威胁,让你或你的客户网络的web应用程序更加安全。 Get技能 ● 评估你需要知道的一切,以执行道德白帽和渗透测试的web应用程序 ● 了解web应用程序协议、HTTP请求/响应、会话管理和cookie、DevOps、云服务、web应用程序框架和Docker容器,以便更好地评估web应用程序的漏洞 ● 构建自己的web应用程序实验室进行渗透测试 ● 通过几种技术和应用程序对web应用程序进行配置和执行被动和主动侦察 ● 利用身份验证和会话管理职责 …
video
Pandas数据清洗与建模
课程简介 在用Python进行Pandas数据清洗和建模的视频课程中,Daniel Y. Chen为《用Python基础语句进行Pandas数据分析视频课》构建了基础。在这一系列课程中,Dan教给你清理和处理数据所必需的技术和技巧。Dan向你展示如何使用某些内置的Python库对数据进行再加工,以清理加载到Pandas中的数据。一旦完成数据清理,你将会想要对它进行分析,所以Dan接下来会向你介绍用于模型拟合的其它库。 Get技能 • 使用Pandas的数据类型 • 对数据类型进行转换 • 使用字符串方法和正则表达式 • 使用函数 • 聚合、转换和筛选数据 • …