-
-
[己办2期,暂停结束]软件安全系列培训——安全编程
-
发表于: 2007-12-7 22:13
-
注意:除了来电子工业出版社参加培训外,也接受公司的内部团队培训业务。
软件安全系列培训——安全编程
主办方:电子工业出版社、看雪学院
课程:安全编程培训第二期
培训时间:2008.3.29~2008.3.30
许多软件开发人员,还没有意识到软件安全编程的重要性。安全编程不仅能提高程序的健壮性,更重要的意义在于避免存在的漏洞被攻击和利用,特别是一些网络应用软件这方面更应引起重视。如果软件存在溢出漏洞, 那么就可能导致一些恶意的代码被运行, 从而为黑客敞开了大门。
电子工业出版社华信知识服务平台鼎力推荐的“安全编程”培训课程,以Visual C++语言为例来讲述安全编程的技术,特聘请资深的网络安全专家来讲解。掌握“安全编程”,你将成为一名知识更加渊博的程序员。
告软件开发公司:漏洞猛于虎,不容忽视!
一、讲师介绍
讲师:Pooka
从事信息安全研究近7年时间,现就职于国内某著名安全公司。长期从事逆向工程、协议分析、漏洞分析、漏洞挖掘等工作。曾发现包括Microsoft、Cisco、IBM等公司产品在内的很多安全漏洞。并长期讲授《安全编程》相关内容的课程,有着丰富的授课经验。
二、课程内容(2天的课程量)
培训时间及课程安排如下:
2008-3-29
2008-3-30
三、主办单位及联系方式
主办单位:电子工业出版社、看雪学院
联 系 人:毕宁
联系电话:010-88254013,13120323280
传 真:010-88254490
E-mail:[EMAIL="bn@phei.com.cn"]bn@phei.com.cn[/EMAIL]
邮寄地址:北京市万寿路173信箱 博文视点(100036)
网 站:fa2N6%4N6%4i4K6u0W2M7$3W2F1L8$3W2@1i4K6u0W2L8%4u0Y4i4K6u0W2j5$3^5`.
详细链接请单击此处:http://www.sinoit.org.cn/InformationSecurity/Training/20080301.html
四、试听
培训的第一个上午的课程免费试听,试听期间己交费的如果不满意,可以无条件退还学费。
有关试听的资格,具体要求和名额,请与上面红色链接的相关人员联系。
试听的课程:
1)安全编程基本概念介绍
什么是安全编程
程序安全问题所可能导致的后果
安全编程涉及的基本知识
2)本课程所涉及的一些工具介绍
报 名 表
论坛ID:___________姓 名:___________职务:______________
公 司:________________________________ E-mail:__________________
地 址:________________________________ 邮 编__________________
五、即将开课的两门培训
如果你对如下两门课程感兴趣,现在可以报名,有一定人数即开课。
六、第一期培训回顾
培训时间:2008.1.12~2008.1.13
1、照片欣赏
2.培训感言
本次培训老师讲得十分清楚,收获很大,感谢老师和华信知识服务平台,希望越办越好!我也希望能有更多机会以更优惠的价格参加这样的培训。
——学员刘某
总的来说挺好的,就是时间稍微有点短,如果是一个连续的周末班,每期一个月,这样大家吸收会更好。
——学员刘某
多举办这类活动,时间长一点,讲解的再细致一些,价格可以接受,还可以更高些。
——学员刘某
本次培训的一些安全漏洞的介绍还可以,本人也学到了一些知识。希望以后培训时能够加一些教材之类的。
——学员郑某
总的来说,还有些收获,希望能事先提供相关资料和内容,同时,在深度和新度上再努力。
——学员唐某
居安思危——参加“安全编程”培训有感
作者:学员 黄某某
在2008年新年伊始,我参加了由电子工业出版社和看雪学院主办的“安全编程”培训,虽然只有短短两天的时间,却让我感悟颇深,在此希望能与大家一起分享:
一、培训课程安排的合理性
上课环境舒适,提供的服务也很到位,但是这些只是硬件上的支持。在短短的两天时间里,课程内容的安排、讲解的次序也是很合理的,采取了由简到繁、由浅入深的讲解方式,第一天:广角度的介绍了关于安全编程相关的一些基础知识,让学员形成一种安全意识;第二天:采取以实际操作为主,让学员很快上手,不管你是处于什么样的编程水平,都能很简单的理解和明白。以前我也参加过很多类似的培训,但是那些课程在安排上都不是很让人满意,不知是个人的能力问题,还是讲师故弄玄虚,总是听到最后感觉 “浪费时间无收获”。
二、讲师授课方式的新颖性
虽然这次我参加的是一个关于安全编程的培训,有的人可能会认为内容相当枯燥而且没有多少实际意义的话题,我本人最初也是抱着这样的思想去参加这次培训的,但是听了上午半天的课程后,觉得自己错的太厉害了,讲师在讲课的过程中并不是对着电脑念讲义稿,而是采取理论与实例相结合的方式,在讲解知识点的过程中,穿插了大量的实际中出现的问题来分析对应的知识点,多次采取互动的形式,让更多的学员参与互动。因为在培训之前就提醒过参加培训的学员,希望大家都能带上自己的电脑,因此在讲师授课的过程中,学员参与互动的机会更多,更好的巩固了知识,毕竟实践出真知嘛!相信在今后,学校里都将渐渐采用这样的授课方式。
三、内容的丰富性
这次培训的内容主要是以VC++为基础,介绍“安全编程”的主题,设计的内容主要是从安全漏洞的定义开始(漏洞定义:与安全相关能被利用破坏系统安全性的软件的BUG),重点分析了在程序设计中常见的几种经典漏洞(缓冲区溢出、SOL注入、跨站脚本、命令执行)。
但是从整个培训过程来看,此次重点强调的是关于缓冲区溢出的问题,在听课的过程中,让我体会到了做为程序员不仅仅需要考虑如何注意算法的优越性,还需要时刻保存一个安全的意识,如果作为一个程序员不能保证自己编写程序的安全性,哪怕功能再完善也是于事无补的,“千里之堤毁于蚁穴”、“一失足成千古恨”等大道理大家都明白,同时国人都有一种惯性思维就是“事不关己高高挂起”。
虽然在缓冲区溢出漏洞上花费的时间很多,但是在整个培训过程中讲解的知识内容还是很丰富的,几乎将整个内存的原理、结构都分析的非常透彻了,同时还提醒大家如何在程序设计中减少不必要的漏洞,主要的原则有:
1、软件结构选择原则
2、采用有效的源代码管理
3、承担责任
4、永远不相信用户输入(牢记此点,可以减少编写代码中的50%的问题)
5、模拟针对代码的威胁
6、不要编写不安全的代码
7、FUZZY
8、尽可能使用最佳工具(包括编译工具、检测工具)
除了以上内容外,还有更多丰富的内容(缓冲区溢出的类型、缓冲区溢出漏洞的利用等)不在此列举,请参与组织方提供的网站:b5fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8Z5k6h3W2Q4x3X3g2^5N6e0t1@1i4K6u0W2j5$3!0E0i4K6u0r3"" target="_blank">2f8K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8Z5k6h3W2Q4x3X3g2^5N6e0t1@1i4K6u0W2j5$3!0E0上面应该会有更加全面的内容提供。
四、总结
我虽然在此之前也做过不少的系统,开发过很多的软件,但是很少关注安全方面的相关信息,因为在此之前作为程序员的我只是负责算法的优化和功能的实现,至于安全问题一般是后期软件设计人员或者程序的测试人员来完成,但是参加了此次培训后,让我在程序设计时的思路更加开阔了,在以后的程序设计中,作为程序员不仅仅要注意功能和算法,更加要注意的是程序中的安全性问题。联想的柳传志曾经提出过 “木桶原理”:一个木桶能盛下多少水不是取决于最长的那块木板,而是由最短的木板来决定的。因此一个好的软件不是靠最好的功能占领市场,而是由哪个软件的漏洞最少,最能保护数据的安全性决定的!因此提醒更多的编程人员和软件用户“漏洞猛于虎”,不容忽视!
看雪软件安全论坛
致力于软件安全研究
http://bbs.pediy.com
2008.1.19
|
|
|---|---|
|
|
|
|
|
 好,知识转化为财富,有益的尝试。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
支持,贵了点儿!
 不过相信看雪是一分钱一分货的。
|
|
|
呵呵俺也占个位子
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
精神支持啊.埯是穷人呀.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
