构建软件数字安全带系列课程(20)：安全性测试

安全测试是整个软件开发流程的重要组成部分。在本次课程中，我们将向大家介绍软件产品从设计到最后发布阶段中测试所起到的重要作用。同时，还将向大家介绍一些重要的不同于一般测试的安全安全测试方法。这些方法不同于书本上的理论知识，具有很高的实用性。

1. 开始时间: 2008/6/19 10:00:00
2. 技术等级: Level 200
3. 产品: None
4. 系列: 构建软件数字安全带系列课程
5. 技术: Security
6. 讲师: 付仲恺
7. 下载课程 WMV MP4 MP3 PDF

构建软件数字安全带系列课程(19)：编写安全的文档与错误信息

文档和错误信息是每个软件产品都必须要包含的部分。编写好的文档与错误信息有利于项目人员对项目的理解和便于用户对于软件的使用。由于软件工程本身是一个不断协商与权衡各方面因素的过程，在权衡过程中一些安全问题就可能暴露出来，通过文档和错误信息能够帮助人们对于这些权衡和问题进行理解。在本次课程中，我们将向大家介绍在文档和错误信息处理方面可能遇到的问题。

1. 开始时间: 2008/6/5 10:00:00
2. 技术等级: Level 200
3. 产品: None
4. 系列: 构建软件数字安全带系列课程
5. 技术: Security
6. 讲师: 付仲恺
7. 下载课程 WMV MP4 MP3 PDF

构建软件数字安全带系列课程(18)：常见的安全指导方法

安全作为一个非常重要的领域，不但有复杂的理论支持，其还非常注重实际工程上的具体应用。在实际的应用中，很多零散的地方都需要我们设计者，开发者以及测试者所注意。在本次课程中，我们就和大家一起探讨在实际安全应用中的一些零碎的，但是非常常见的安全指导方法。相信这些方法能够在您的软件设计，开发，测试与部署的各个环节中带来帮助。

1. 开始时间: 2008/5/20 10:00:00
2. 技术等级: Level 300
3. 产品: None
4. 系列: 构建软件数字安全带系列课程
5. 技术: Security
6. 讲师: 付仲恺
7. 下载课程 WMV MP4 MP3 PDF

构建软件数字安全带系列课程(17)：规范化问题

不要让你的安全依赖于资源的名称，特别是文件名！但你看到rose， ROSE， Rose或r%6fse的时候，你觉得他们表示的是相同的对象么？如果是的话，并且如果这是个受到保护的对象，当我们阻挡住访问rose的时候，那么ROSE, Rose以及r%6fse甚至更多的表示方式我们应该如何来处理呢？这就是我们本次课程所要涉及到的字符串规范化问题。在本次课程中，我将和大家一起讨论这个问题，并且对于一些经典的案例进行分析， 同时在课程中还会通过演示向大家介绍一些处理这类问题的规范化方法。

1. 开始时间: 2008/5/12 14:30:00
2. 技术等级: Level 300
3. 产品: None
4. 系列: 构建软件数字安全带系列课程
5. 技术: Security
6. 讲师: 付仲恺
7. 下载课程 WMV MP4 MP3 PDF

构建软件数字安全带系列课程(16)：Socket安全

Socket可以说是使用TCP/IP协议应用程序进行通讯的核心部分.在IPv4下, IP协议以及相关的传输协议,如:TCP与UDP,并没有考虑安全性所带来的威胁. 另外,虽然在IPv6中, 一些威胁可以被消除,但是其仍然存在着其他的问题.在本次课程中,我们将向大家介绍如何安全地绑定,监听以及管理服务器与客户端的应用程序,同时还将向大家介绍如何编写对防火墙友好的程序.

1. 开始时间: 2008/4/24 10:00:00
2. 技术等级: Level 300
3. 产品: None
4. 系列: 构建软件数字安全带系列课程
5. 技术: Security
6. 讲师: 付仲恺
7. 下载课程 WMV MP4 MP3 PDF

构建软件数字安全带系列课程(15)：访问控制权限管理

对于用户访问控制权限，Windows提供了多种方法。其中，ACL是应用最为广泛和具有可扩展性的技术。事实上，ACL正是Windows NT/2000/XP/2003/Vista在安全方面的基础。其可以用于保护像文件，注册表项等类似的资源。而在有些情况，错误设计的ACL会导致严重的安全问题。在本次课程中，我将向大家介绍为了保护资源的安全性，如何确定适当的ACL。

1. 开始时间: 2008/4/17 10:00:00
2. 技术等级: Level 300
3. 产品: None
4. 系列: 构建软件数字安全带系列课程
5. 技术: Security
6. 讲师: 付仲恺
7. 下载课程 WMV MP4 MP3 代码 PDF

构建软件数字安全带系列课程(14)：机密数据保护

对于我们当前的计算机硬件来讲, 对于诸如,密钥,签名,口令等敏感数据的完全安全的存储是很难实现的。任何拥有足够权限或者可以直接物理接触计算机的用户都有可能窃取这些机密的数据。虽然彻底地保护机密数据很难实现的,但是我们可以通过提高安全门限来增加攻击者的入侵成本。在本次课程中,我们将向大家介绍一些常用的攻击方法; 确定机密数据是否安全存储; 在各个Windows版本中如何存储机密数据；内存存储问题；在托管代码中的机密数据存储等内容。

1. 开始时间: 2008/4/3 10:00:00
2. 技术等级: Level 300
3. 产品: None
4. 系列: 构建软件数字安全带系列课程
5. 技术: Security
6. 讲师: 付仲恺
7. 下载课程 WMV MP4 MP3 代码 PDF

构建软件数字安全带系列课程(13)：加密弱点探悉

加密能够保证我们的安全么？很遗憾，答案是否定的。虽然加密能够帮助开发者解决特定的安全问题，实现数据私有性，完整性保护以及认证，但是对于我们的应用程序来说，加密并不能够解决程序中的代码错误。甚至当我们错误地使用了加密的时候，可能连原本能够保证的安全问题也无法得到保证。在本次课程中，我们将向大家介绍在日常密码使用过程中的一些经典错误，如：劣质的伪随机数，通过密码来获得密钥等等，以及一些针对加密的攻击方法。

1. 开始时间: 2008/3/21 10:00:00
2. 技术等级: Level 300
3. 产品: None
4. 系列: 构建软件数字安全带系列课程
5. 技术: Security
6. 讲师: 付仲恺
7. 下载课程 WMV MP4 MP3 代码 PDF

构建软件数字安全带系列课程(12)：头号公敌——缓冲区溢出攻击

作为历史最为悠久，危害最为严重的攻击方式，自从计算机软件诞生，缓冲区溢出攻击就一直存在着。虽然近些年来先进的处理器，操作系统，编译器以及基于托管的各类高级语言虚拟机都对缓冲区溢出攻击的防范采取了各种各样的办法。但是由于该攻击方式的灵活性，同时也由于非托管的代码还会继续存在与运行，因此会产生这种攻击的漏洞一直很难彻底根除。在本次课程中，我们将主要以非托管C++代码为例，向大家详细讲解缓冲区溢出攻击的基本原理以及防范方法。为了您能够在本次课程中收到良好的效果，希望您能够对于x86架构下非托管C/C++的编程模型，内存模型以及汇编语言的基础知识有所了解。

1. 开始时间: 2008/1/24 10:00:00
2. 技术等级: Level 400
3. 产品: None
4. 系列: 构建软件数字安全带系列课程
5. 技术: Security
6. 讲师: 付仲恺
7. 下载课程 WMV MP4 MP3 PDF

构建软件数字安全带系列课程(11)：Windows Vista中用户帐户控制（UAC）最佳实践

用户帐户控制（UAC）作为Windows Vista操作系统的新的安全特性在很大程度上降低了非管理员权限下用户进程运行时的安全问题与操作系统遭受攻击的程度。同时该特性使得当用户面对需要较高特权的应用程序时，可以自主决定是否授予该应用程序相应的权限，提高了系统的安全性。并且通过帮助用户降低偶然误操作所带来的数据与文件修改所造成的损失，UAC降低了计算机管理的总体开销。在本次Webcast中，我们将向大家介绍部署与管理UAC的最佳实践，确保其能够与现有的应用程序相兼容，并且向大家介绍如何通过程序来利用UAC的保护特性。

1. 开始时间: 2007/12/6 14:30:00
2. 技术等级: Level 200
3. 产品: None
4. 系列: 构建软件数字安全带系列课程
5. 技术: Security
6. 讲师: 付仲恺
7. 下载课程 WMV MP4 MP3 PDF

构建软件数字安全带系列课程(10)：跨站脚本攻击(XSS)及其防御手段

在当前的各种Web安全漏洞中，跨站脚本攻击作为一种实施门槛低，不易被受害者发现而且侵害面广的攻击方式，广泛存在于互联网中。特别是在今年的OWASP评选中，跨站脚本攻击更登上了10大Web安全漏洞的榜首位置。因此，对于这种攻击方法，作为Web开发人员要特别引起重视。在本次的Webcast中，我们将详细地向大家介绍跨站脚本攻击的工作原理，实施方法，以及防御手段。并且向大家介绍一个由微软ACE（Application Consulting & Engineering）团队开发的跨站脚本攻击的检测工具XSSDetect。这个工具作为Visual Studio .NET的插件能够有效地帮助开发者检测项目中潜在存在的跨站脚本攻击的漏洞。另外，对于防止跨站脚本攻击，我们在课程中还会向大家提出一些指导建议。

1. 开始时间: 2007/12/4 14:30:00
2. 技术等级: Level 300
3. 产品: None
4. 系列: 构建软件数字安全带系列课程
5. 技术: Security
6. 讲师: 付仲恺
7. 下载课程 WMV MP4 MP3 代码 PDF Q&A

构建软件数字安全带系列课程(9)：WSE 3.0高级安全特性介绍

在本次课程中,我将向您介绍WSE 3.0在安全方面的一些高级特性。我们将通过编码的方式来配置这些安全策略。同时,还将向大家展示如何编写自定义策略断言, 以实现诸如,访问控制,审计等应用程序安全特性。

1. 开始时间: 2007/2/6 14:30:00
2. 技术等级: Level 300
3. 产品: Visual Studio 2005
4. 系列: 构建软件数字安全带系列课程
5. 技术: Security
6. 讲师: 付仲恺
7. 下载课程 WMV MP4 MP3 PDF

构建软件数字安全带系列课程(8)：WSE 3.0基本安全介绍

在本次课程中, 我将向您介绍WSE 3.0的基本安全特性。我们将从配制文件开始,实现在通用场景中基于消息的安全策略,以及在安全通信过程中对于性能的优化。并且,您还将会看到如何在Web Service中添加简单的认证,以决定用户能否调用Web方法。最后,我们将会学习如何实现用户自定义策略断言以实现WSE消息安全的自定义化。

1. 开始时间: 2007/1/24 14:30:00
2. 技术等级: Level 200
3. 产品: Visual Studio 2005
4. 系列: 构建软件数字安全带系列课程
5. 技术: Security
6. 讲师: 付仲恺
7. 下载课程 WMV MP4 MP3 PDF

构建软件数字安全带系列课程(7)：保护您的代码

所有的程序都能够被反向工程。可能有些人希望自由地使用您的软件。可能有些人希望窃取您的算法或者代码。可能您的应用程序包含了其他具有很大价值的安全信息，容易引起攻击者的注意。然而，无论隐藏在安全威胁后面的动机是什么，您必须理解如何保护好您的代码。本次课程，将向您介绍如何将您的代码隐藏起来。

1. 开始时间: 2006/12/8 10:00:00
2. 技术等级: Level 200
3. 产品: Visual Studio 2005
4. 系列: 构建软件数字安全带系列课程
5. 技术: Security
6. 讲师: 付仲恺
7. 下载课程 WMV MP4 MP3 PDF

构建软件数字安全带系列课程(6)：ASP.NET Web Service安全介绍

微软ASP.NET Web Service采用了灵活的开放标准，使得Web Service成为一个为客户端和中间层业务逻辑主机提供服务的优秀机制。然而，由于标准的制约和各种不同类型客户端的限制，Web Service的安全性较难保证。在本次课程中，我们将描述如何开发和应用授权，认证和安全通讯技术来改进微软ASP.NET中Web Service的安全性。我们将首先概览主要的三种Web Service安全模型。我们将介绍传输和平台模型，应用程序模型和消息层模型。然后，我们将配置这些模型，并且实现ASP.NET Web Service中传输和平台级的安全。

1. 开始时间: 2006/11/28 14:30:00
2. 技术等级: Level 300
3. 产品: Visual Studio 2005
4. 系列: 构建软件数字安全带系列课程
5. 技术: Security
6. 讲师: 付仲恺
7. 下载课程 WMV MP4 MP3 PDF

构建软件数字安全带系列课程(5)：用户输入校验

对于应用程序来讲，用户输入是最大的单源恶意攻击。在本次课程中，我们将向大家介绍如何过滤用户输入，确保只有期望的数据才能进入到应用程序中。我们将介绍validation控件，正则表达式，强类型等等。

1. 开始时间: 2006/11/21 14:30:00
2. 技术等级: Level 200
3. 产品: Visual Studio 2005
4. 系列: 构建软件数字安全带系列课程
5. 技术: Security
6. 讲师: 付仲恺
7. 下载课程 WMV MP4 MP3 PDF

构建软件数字安全带系列课程(4)：数据库防护——详细介绍SQL注入攻击

SQL注入攻击是一种非常常见的攻击方式。在本次课程中，我们将深入研究这一主题，并且通过演示来向大家介绍SQL注入攻击的危害性，并且对于防止SQL注入攻击进行相关的技术介绍。

1. 开始时间: 2006/10/31 14:30:00
2. 技术等级: Level 300
3. 产品: Visual Studio 2005
4. 系列: 构建软件数字安全带系列课程
5. 技术: Security
6. 讲师: 付仲恺
7. 下载课程 WMV MP4 MP3 代码 PDF

构建软件数字安全带系列课程(3)：保护秘密数据（连接字符串，密码等）

“谁来保护保密者自己？”在安全系统的设计和开发过程中，最大的一个挑战就是如何保存“使得数据保密的数据”。在本次课程中，我们将向大家介绍如何在开发过程中管理数据库连接字符串和密码，安全的加密密钥管理，以及安全的文件数据加密。这些技术将会包括.NET隔离存储空间，DPAPI，System.Excryption等等。

1. 开始时间: 2006/10/9 14:30:00
2. 技术等级: Level 200
3. 产品: Visual Studio 2005
4. 系列: 构建软件数字安全带系列课程
5. 技术: Security
6. 讲师: 付仲恺
7. 下载课程 WMV MP4 MP3 PDF

构建软件数字安全带系列课程(2)：开发者安全准则和向导

认识到开发者会遇到各种类型的安全攻击是非常重要的。在本次课程中，我们会对各种攻击方式进行分类，解释它们如何工作和行为，并且给出具体的实例和应对它们的方法。然后，我们会对胖客户端，Web客户端和Web服务应用的安全性进行比较。

1. 开始时间: 2006/9/29 10:00:00
2. 技术等级: Level 200
3. 产品: Visual Studio 2005
4. 系列: 构建软件数字安全带系列课程
5. 技术: Security
6. 讲师: 付仲恺
7. 下载课程 WMV MP4 MP3 PDF

构建软件数字安全带系列课程(1)：构建可靠的安全开发过程

在介绍实现安全代码技术之前,我们必须理解如何从软件开发生命周期的角度来看待安全软件的设计,管理,开发,巩固和维护.在本次课程中,我们将讨论如何考虑,设计和管理软件的安全性,这是确保我们软件安全的基础之一。

1. 开始时间: 2006/9/22 10:00:00
2. 技术等级: Level 200
3. 产品: Visual Studio 2005
4. 系列: 构建软件数字安全带系列课程
5. 技术: Security
6. 讲师: 付仲恺
7. 下载课程 WMV MP4 MP3 PDF