Ausnutzen und Absichern von Schwachstellen in Java-Anwendungen

Nutzen Sie die Ersparnis! Erhalten Sie 40% Rabatt auf 3 Monate Coursera Plus und vollen Zugang zu Tausenden von Kursen.

Ausnutzen und Absichern von Schwachstellen in Java-Anwendungen

Dieser Kurs ist Teil von Spezialisierung „Sichere Kodierungspraktiken“

Dozent: Joubin Jabbari

8.548 bereits angemeldet

Bei enthalten

Mehr erfahren

4 Module

Verschaffen Sie sich einen Einblick in ein Thema und lernen Sie die Grundlagen.

66 Bewertungen

Stufe Mittel

Einige einschlägige Kenntnisse erforderlich

2 Wochen zu vervollständigen

unter 10 Stunden pro Woche

Flexibler Zeitplan

In Ihrem eigenen Lerntempo lernen

4 Module

Verschaffen Sie sich einen Einblick in ein Thema und lernen Sie die Grundlagen.

66 Bewertungen

Stufe Mittel

Einige einschlägige Kenntnisse erforderlich

2 Wochen zu vervollständigen

unter 10 Stunden pro Woche

Flexibler Zeitplan

In Ihrem eigenen Lerntempo lernen

Was Sie lernen werden

Üben Sie den Schutz vor verschiedenen Arten von Cross-Site-Scripting (XSS)-Angriffen.
Erstellen Sie Pläne, um Injektionsschwachstellen in Ihrer Webanwendung zu entschärfen.
Erstellen Sie Strategien und Kontrollen für eine sichere Authentifizierung.
Untersuchen Sie den Code, um verwundbare Komponenten zu finden und zu patchen.

Kompetenzen, die Sie erwerben

Kategorie: Java
Kategorie: Vulnerability Assessments
Kategorie: Code Review
Kategorie: Penetration Testing
Kategorie: Secure Coding
Kategorie: Dependency Analysis
Kategorie: Vulnerability Management
Kategorie: Authentications
Kategorie: Application Security
Kategorie: Authorization (Computing)

Werkzeuge, die Sie lernen werden

Kategorie: Open Web Application Security Project (OWASP)
Kategorie: Java Programming
Kategorie: Exploit development
Kategorie: JSON
Kategorie: Docker (Software)
Kategorie: Git (Version Control System)

Wichtige Details

Zertifikat zur Vorlage

Zu Ihrem LinkedIn-Profil hinzufügen

Bewertungen

4 Zuweisungen¹

KI-bewertet siehe Haftungsausschluss

Unterrichtet in Englisch

Erfahren Sie, wie Mitarbeiter führender Unternehmen gefragte Kompetenzen erwerben.

Weitere Informationen zu Coursera für Unternehmen

Logos von Petrobras, TATA, Danone, Capgemini, P&G und L'Oreal

Erweitern Sie Ihre Fachkenntnisse

Dieser Kurs ist Teil der Spezialisierung Spezialisierung „Sichere Kodierungspraktiken“

Wenn Sie sich für diesen Kurs anmelden, werden Sie auch für diese Spezialisierung angemeldet.

Lernen Sie neue Konzepte von Branchenexperten
Gewinnen Sie ein Grundverständnis bestimmter Themen oder Tools
Erwerben Sie berufsrelevante Kompetenzen durch praktische Projekte
Erwerben Sie ein Berufszertifikat zur Vorlage

In diesem Kurs gibt es 4 Module

In diesem Kurs werden wir viele Hüte aufsetzen. Mit unseren Angreifer-Hüten werden wir Injection-Probleme ausnutzen, die es uns ermöglichen, Daten zu stehlen, Cross-Site-Scripting-Probleme auszunutzen, um den Browser eines Benutzers zu kompromittieren, die Authentifizierung zu brechen, um Zugriff auf Daten und Funktionen zu erhalten, die den 'Admins' vorbehalten sind, und sogar verwundbare Komponenten auszunutzen, um unseren Code auf einem Remote-Server auszuführen und auf einige Geheimnisse zuzugreifen. Wir werden auch Defender Hats tragen. Wir werden tief in den Code eintauchen, um die Ursache dieser Probleme zu beheben und verschiedene Strategien zur Schadensbegrenzung diskutieren. Dazu nutzen wir WebGoat, ein OWASP-Projekt, das dazu dient, Penetrationstests zu lehren. WebGoat ist eine absichtlich verwundbare Anwendung mit vielen Schwachstellen und wir versuchen, einige dieser Probleme zu beheben. Schließlich beheben wir diese Probleme in WebGoat und erstellen unsere gepatchten Binärdateien. Gemeinsam besprechen wir Online-Ressourcen, die uns dabei helfen können, und suchen nach sinnvollen Möglichkeiten, der größeren Gemeinschaft für Anwendungssicherheit etwas zurückzugeben.

In diesem Modul werden Sie in der Lage sein, Git und GitHub zu verwenden, um den benötigten Quellcode zu beziehen. Sie werden in der Lage sein, WebGoat in einem Docker-Container auszuführen und die Gründe dafür zu erklären. Sie werden in der Lage sein, Cross-Site-Scripting-Angriffe zu beschreiben und zu erklären, wie diese Angriffe ablaufen und wie man sich vor ihnen schützen kann. Sie werden in der Lage sein, zwischen DOM-basierten, reflektierten und gespeicherten Cross-Site-Scripting-Angriffen zu unterscheiden. Sie werden in der Lage sein, den Schutz vor verschiedenen Arten von Cross-Site-Scripting-Angriffen zu üben.

Das ist alles enthalten

14 Videos3 Lektüren1 Aufgabe1 peer review5 Diskussionsthemen

14 Videos Insgesamt 89 Minuten

Kurs Einführung 4 Minuten
Übersicht der Ressourcen und Tools für diesen Kurs 5 Minuten
Einrichtung und Einführung in Cross-Site Scripting 2 Minuten
Tipps und Tricks zur Verwendung von Git für Kurse und Projekte 9 Minuten
Wie man WebGoat in die IDE importiert 8 Minuten
Wie man WebGoat in einem Docker-Container ausführt 6 Minuten
Injektionsangriffe: Was sie sind und wie sie uns beeinträchtigen 10 Minuten
Cross-Site Scripting (XSS), Teil 1 10 Minuten
Schutz vor Cross-Site Scripting (XSS), Teil 2 9 Minuten
Patching von Reflected Cross-Site Scripting (XSS), Teil 3 6 Minuten
Gespeichertes Cross-Site-Scripting (XSS) 14 Minuten
Gefahren von Cross-Site Scripting (XSS)-Angriffen 4 Minuten
Ein Hinweis zum Finden von Lektionen auf WebGoat 1 Minute
Einführung in die Laboratorien (Peer Reviewed) 2 Minuten

3 Lektüren Insgesamt 80 Minuten

Eine Anmerkung der UC Davis 10 Minuten
OWASP Spickzettel zur Prävention von Cross Site Scripting 60 Minuten
Hinweis zu Peer-Review-Aufträgen 10 Minuten

1 Aufgabe Insgesamt 30 Minuten

Modul 1 Quiz 30 Minuten

1 peer review Insgesamt 120 Minuten

WebGoat Cross-Site Scripting (XSS) 120 Minuten

5 Diskussionsthemen Insgesamt 95 Minuten

Lernziele 10 Minuten
WebGoat Aktivität: Probieren Sie es aus! Reflektiertes XSS 30 Minuten
WebGoat Aktivität: Probieren Sie es aus! Reflektiertes XSS (wieder) 20 Minuten
Die Bedeutung der Verhinderung von Cross Site Scripting (XSS)-Angriffen 20 Minuten
Cross Site Scripting (XSS) Lab Offenes Diskussionsforum 15 Minuten

In diesem Modul werden Sie in der Lage sein, eine SQL-Injektionsschwachstelle auszunutzen und Pläne zur Entschärfung von Injektionsschwachstellen in Ihrer Webanwendung zu erstellen. Sie werden in der Lage sein, verschiedene Ansätze zum Auffinden und Beheben von XML-, Entity- und SQL-Angriffsschwachstellen zu diskutieren. Sie werden in der Lage sein, einen "Man-in-the-Middle"-Angriff zu beschreiben und sich dagegen zu schützen, und Sie werden den Gedankengang beschreiben, wie man SQL-Injection-Schwachstellen findet, indem man "den Hut des Angreifers aufsetzt". Sie werden demonstrieren können, wie man Abfragen richtig modifiziert, um sie in vorbereitete Anweisungen umzuwandeln und den Code zu analysieren, während Sie einen XML-Viewer und einen Texteditor verwenden, um Schwachstellen zu finden. Sie werden auch in der Lage sein, eine große Codebasis zu durchsuchen, um kritische Codesegmente zu finden und Sicherheitslücken zu schließen.

Das ist alles enthalten

10 Videos2 Lektüren1 Aufgabe1 peer review3 Diskussionsthemen

10 Videos Insgesamt 80 Minuten

Injektionsangriffe 2 Minuten
Tutorial: Mit einem Proxy den Datenverkehr vom Client zu den Servern abfangen 7 Minuten
SQL-Syntax und -Grundlagen: Den Hut des Angreifers aufsetzen 10 Minuten
Lösung für SQL-Injection-Angriffe (SQLi) 8 Minuten
SQL-Injection-Angriffe: Bewertung von Code 13 Minuten
XML External Entity (XXE)-Angriffe 8 Minuten
Demo eines XML External Entity (XXE) Angriffs, um Remote Code Execution (RCE) zu erlangen 6 Minuten
Bewertung von Code - XXE durch ein REST-Framework 8 Minuten
Lösung: Bewertung von Code - XXE durch ein REST Framework 8 Minuten
Patches für die XXE-Sicherheitslücke 10 Minuten

2 Lektüren Insgesamt 90 Minuten

OWASP Spickzettel zur Vermeidung von SQL-Injektionen 45 Minuten
OWASP XML External Entity Prevention Spickzettel 45 Minuten

1 Aufgabe Insgesamt 30 Minuten

Modul 2 Quiz 30 Minuten

1 peer review Insgesamt 120 Minuten

WebGoat SQL-Einschleusung 120 Minuten

3 Diskussionsthemen Insgesamt 75 Minuten

WebGoat Aktivität: Probieren Sie es aus! String-SQL-Einschleusung 30 Minuten
WebGoat Aktivität: XXE (Externe XML-Entität) 30 Minuten
Injection Attacks Lab Offenes Diskussionsforum 15 Minuten

In diesem Modul werden Sie in der Lage sein, verschiedene Arten von Authentifizierungsfehlern zu bewerten, um potenzielle Probleme zu identifizieren und Strategien und Kontrollen für eine sichere Authentifizierung zu entwickeln. Sie werden in der Lage sein, Kontrollen zu erstellen und/oder zu implementieren, um die Umgehung der Authentifizierung abzumildern und Lehren aus bemerkenswerten Fällen zu ziehen, in denen andere bei der Authentifizierung von Benutzern versagt haben. Sie werden in der Lage sein, Authentifizierungsmethoden wie JSON Web Tokens (JWT) richtig zu implementieren. Sie werden in der Lage sein, Schwachstellen in einer großen Codebasis zu finden und eine Lösung für die Demonstration und Ausnutzung von JSON Web Tokens (JWT) bereitzustellen.

Das ist alles enthalten

12 Videos2 Lektüren1 Aufgabe1 peer review3 Diskussionsthemen

12 Videos Insgesamt 56 Minuten

Authentifizierung und Autorisierung 1 Minute
Einführung zu Authentifizierungsfehlern in WebGoat 1 Minute
Sicherheitslücke zur Umgehung der Authentifizierung 3 Minuten
Tipps und Tricks für Burp Suite: Proxy zum Abfangen von Datenverkehr verwenden 4 Minuten
Lösung zur Umgehung der Authentifizierung: Bewertung des Codes 8 Minuten
Auffinden von Schwachstellen und logischen Fehlern im Quellcode 11 Minuten
Einführung in JSON Web Tokens (JWT) und Umgehung der Authentifizierung 1 Minute
Authentifizierungsfehler JSON-Web-Token (JWT) 7 Minuten
Lösungs-Demo: Ausnutzung von JSON-Web-Token (JWT) 8 Minuten
Evaluierung von Code zum Auffinden des JSON-Web-Token (JWT)-Fehlers 5 Minuten
Video-Tipp: (JWT) Patching des anfälligen Codes in WebGoat 1 Minute
Lösung zum Patchen des JWT-Fehlers 7 Minuten

2 Lektüren Insgesamt 105 Minuten

OWASP Spickzettel zur Transaktionsautorisierung 60 Minuten
Ein Einsteigerhandbuch für JWTs in Java' 45 Minuten

1 Aufgabe Insgesamt 30 Minuten

Modul 3 Quiz 30 Minuten

1 peer review Insgesamt 120 Minuten

Fehler bei der WebGoat-Authentifizierung 120 Minuten

3 Diskussionsthemen Insgesamt 75 Minuten

WebGoat Aktivität: Umgehungen der Authentifizierung 30 Minuten
WebGoat Aktivität: JWT-Token 30 Minuten
Authentication Flaws Lab Offenes Diskussionsforum 15 Minuten

In diesem Modul werden Sie in der Lage sein, den OWASP Dependency Checker bei der Analyse von Code zu verwenden und zu überprüfen, ob Sie verwundbare Komponenten im Code haben. Sie werden in der Lage sein, Code zu untersuchen, um verwundbare Komponenten zu finden und zu patchen. Sie werden in der Lage sein, das Gelernte aus den vorangegangenen Modulen anzuwenden, um Ihr Abschlussprojekt fertigzustellen.

Das ist alles enthalten

5 Videos3 Lektüren1 Aufgabe1 peer review2 Diskussionsthemen

5 Videos Insgesamt 26 Minuten

Gefahren durch anfällige Komponenten Einleitung 2 Minuten
Anfällige Komponenten (XStream Library) 9 Minuten
Lösung: Behebung von Schwachstellen mit XStream 11 Minuten
Einführung in die Laboratorien (Peer Reviewed) 2 Minuten
Kurs-Zusammenfassung 1 Minute

3 Lektüren Insgesamt 50 Minuten

Artikel: Wie Hacker Equifax knackten: Ausnutzung einer patchbaren Sicherheitslücke 10 Minuten
Artikel: Ausnutzung der OGNL-Injektion in Apache Struts 30 Minuten
Hinweis zu Peer-Review-Aufträgen 10 Minuten

1 Aufgabe Insgesamt 5 Minuten

Modul 4 Übungsquiz 5 Minuten

1 peer review Insgesamt 120 Minuten

Anfällige Komponenten von WebGoat 120 Minuten

2 Diskussionsthemen Insgesamt 40 Minuten

WebGoat Aktivität: Anfällige Komponenten 30 Minuten
Selbstreflexion 10 Minuten

Erwerben Sie ein Karrierezertifikat.

Fügen Sie dieses Zeugnis Ihrem LinkedIn-Profil, Lebenslauf oder CV hinzu. Teilen Sie sie in Social Media und in Ihrer Leistungsbeurteilung.

Dozent

Lehrkraftbewertungen

(16 Bewertungen)

Joubin Jabbari

University of California, Davis

1 Kurs 8.548 Lernende

von

University of California, Davis

Mehr von Computersicherheit und Netzwerke entdecken

Status: Kostenloser Testzeitraum
University of California, Davis
Identifying Security Vulnerabilities
Kurs
Status: Kostenloser Testzeitraum
Packt
Exploit Development, Malware, & Defensive Strategies
Kurs
Status: Kostenloser Testzeitraum
IBM
Application Security for Developers and DevOps Professionals
Kurs
Packt
Web Hacking Expert - Full-Stack Exploitation Mastery
Kurs

Warum entscheiden sich Menschen für Coursera für ihre Karriere?

Felipe M.

Lernender seit 2018

„Es ist eine großartige Erfahrung, in meinem eigenen Tempo zu lernen. Ich kann lernen, wenn ich Zeit und Nerven dazu habe.“

Jennifer J.

Lernender seit 2020

„Bei einem spannenden neuen Projekt konnte ich die neuen Kenntnisse und Kompetenzen aus den Kursen direkt bei der Arbeit anwenden.“

Larry W.

Lernender seit 2021

„Wenn mir Kurse zu Themen fehlen, die meine Universität nicht anbietet, ist Coursera mit die beste Alternative.“

Chaitanya A.

„Man lernt nicht nur, um bei der Arbeit besser zu werden. Es geht noch um viel mehr. Bei Coursera kann ich ohne Grenzen lernen.“

Bewertungen von Lernenden

5 stars
71,21 %
4 stars
15,15 %
3 stars
4,54 %
2 stars
3,03 %
1 star
6,06 %

Zeigt 3 von 66 an

Geprüft am 25. Mai 2020

Great course, got lot to earn about vulnerabilities and their mitigation strategies

Geprüft am 22. Juni 2020

Excellent and really helpful material... By far the best and most interesting course in the series!

Geprüft am 2. Okt. 2019

course is good but it seems like, i am learner of this course..There is no one who can review my asginments -_-'

Weitere Bewertungen anzeigen

Neue Karrieremöglichkeiten mit Coursera Plus

Unbegrenzter Zugang zu 10,000+ Weltklasse-Kursen, praktischen Projekten und berufsqualifizierenden Zertifikatsprogrammen - alles in Ihrem Abonnement enthalten

Mehr erfahren

Bringen Sie Ihre Karriere mit einem Online-Abschluss voran.

Erwerben Sie einen Abschluss von erstklassigen Universitäten – 100 % online

Erkunden Sie die Abschlüsse

Schließen Sie sich mehr als 3.400 Unternehmen in aller Welt an, die sich für Coursera for Business entschieden haben.

Schulen Sie Ihre Mitarbeiter*innen, um sich in der digitalen Wirtschaft zu behaupten.

Mehr erfahren

Häufig gestellte Fragen

Um Zugang zu den Kursmaterialien und Aufgaben zu erhalten und um ein Zertifikat zu erwerben, müssen Sie die Zertifikatserfahrung erwerben, wenn Sie sich für einen Kurs anmelden. Sie können stattdessen eine kostenlose Testversion ausprobieren oder finanzielle Unterstützung beantragen. Der Kurs kann stattdessen die Option "Vollständiger Kurs, kein Zertifikat" anbieten. Mit dieser Option können Sie alle Kursmaterialien einsehen, die erforderlichen Bewertungen abgeben und eine Abschlussnote erhalten. Dies bedeutet auch, dass Sie kein Zertifikat erwerben können.

Wenn Sie sich für den Kurs einschreiben, erhalten Sie Zugang zu allen Kursen der Spezialisierung, und Sie erhalten ein Zertifikat, wenn Sie die Arbeit abgeschlossen haben. Ihr elektronisches Zertifikat wird Ihrer Seite "Leistungen" hinzugefügt - von dort aus können Sie Ihr Zertifikat ausdrucken oder Ihrem LinkedIn-Profil hinzufügen.

Ja. Für ausgewählte Lernprogramme können Sie eine finanzielle Unterstützung oder ein Stipendium beantragen, wenn Sie die Anmeldungsgebühr nicht aufbringen können. Wenn für das von Ihnen gewählte Lernprogramm eine finanzielle Unterstützung oder ein Stipendium verfügbar ist, finden Sie auf der Beschreibungsseite einen Link zum Antragsformular.

Weitere Fragen

Besuchen Sie die das Hilfe-Center für Kursteilnehmer.

Finanzielle Unterstützung verfügbar,

¹ Einige Aufgaben in diesem Kurs werden mit AI bewertet. Für diese Aufgaben werden Ihre Daten in Übereinstimmung mit Datenschutzhinweis von Courseraverwendet.