Contents
參與者條件 : 須具備 Java 和 Spring Boot 基礎知識 • AWS S3 基礎知識
學習的技術 : 強化檔案共享服務 • JSON Web Token (JWT) 身份驗證 • 分散授權 • 驗證數位簽名 • 惡意軟體分析 • 安全測試
ShareSafe 的使命是提供線上檔案共享即服務,作為其開發人員,您的使命是建構具有強大安全性的服務,讓 ShareSafe 的客戶不斷回頭。使用 Java Spring Boot,您將建構一個支持檔案上傳和下載的簡單檔案傳輸 REST API 服務,並且您將識別和解決檔案上傳漏洞。您將通過使用 JSON Web 令牌 (JWT) 實現用戶身份驗證層並利用 macaroon(加密 cookie)實現安全檔案共享來增加安全性。
為了提高安全性,您將添加檔案完整性檢查以及所有用戶和檔案活動的日誌記錄。然後,您將通過配置 AWS S3 以啟用惡意軟體分析並實施 VirusTotal(一項提供共享檔案的動態和行為分析的服務),將您的 REST API 服務的安全性提升一個級別。完成這些 liveProjects 後,您將建構具有高可用性、持久性和安全性的檔案共享 REST API,ShareSafe 的客戶將享受安全的檔案共享體驗。
It’s an interesting project building an interesting tool.
– Richard Vaughan, CTO, Purple Monkey Collective
涵蓋專案

專案 1 加強檔案傳輸 ( Harden File Transferring ) USD29.99 FREE
您是 ShareSafe 的開發人員,該公司的客戶可以使用 API 將個人文件、照片和視訊上傳到 ShareSafe 的網站。 您的任務是讓 ShareSafe 的用戶能夠與他人共享他們的檔案。 使用 Java Spring Boot,您將建構一個支持檔案上傳和下載的簡單檔案傳輸 REST API 服務,您將識別和解決 REST API 服務的檔案上傳漏洞。 對於後端檔案存儲,您將實施 Amazon Simple Storage Service (AWS S3)。 最後,您將通過配置和實施 AWS S3 加密和訪問管理功能來強化您的服務以抵禦最常見的漏洞。 完成後,您將建構一個檔案傳輸服務,該服務提供高可擴展性、持久性、加密和備份,並允許您的用戶輕鬆共享他們的檔案。
幫助 ShareSafe 的客戶放心分享。 您是一家提供線上檔案共享即服務的公司的開發人員。 它的用戶可以使用 API 將個人文件、照片和視訊上傳和共享到 ShareSafe 的網站。 您的任務是為 ShareSafe 的檔案傳輸 REST API 服務增加安全性。 您將使用 JSON Web 令牌 (JWT) 實現用戶身份驗證層,通過建立用戶和檔案之間的關係為可共享的 URL 提供授權,並利用 macaroon(加密 cookie)為用戶共享檔案提供安全的方式。
專案 3 檔案完整性監控 ( File Integrity Monitoring ) USD29.99 USD17.99
增強 ShareSafe 的線上檔案共享服務的安全性。 您是一家公司的開發人員,該公司的客戶可以使用 API 將個人文件、照片和視訊上傳和共享到其網站上。 您的任務是通過添加檔案完整性檢查來增強 ShareSafe 檔案傳輸 REST API 服務的安全性。 使用 JSON Web 令牌 (JWT),您將實現資料的基本密鑰生成、簽名和驗證。 您將重構 API,使其能夠驗證數位簽名,並通過添加所有用戶和檔案活動的日誌記錄來更輕鬆地識別可疑請求(並滿足合規性要求)。
專案 4 惡意軟體分析 ( Malware Analysis ) USD29.99 USD17.99
建立更好的防禦! 作為提供線上檔案共享即服務的公司 ShareSafe 的開發人員,您的任務是通過添加檢查上傳檔案是否存在惡意軟體的功能來提升其 REST API 文件傳輸服務的安全性。 您將建立一個強大的基礎設施,用於對儲存在 AWS S3 存儲桶中的檔案進行惡意軟體分析,將該基礎設施與 REST API 服務整合,並實施 VirusTotal,這是一種威脅情報服務,可為共享檔案提供動態和行為分析。 完成後,您將針對已知惡意軟體建立堅實的防禦線,並為用戶提供安全的檔案共享體驗。
圖書資源
當您開始本系列中的每個專案時,您將可以在 90 天內完全訪問以下書籍。 ( 免費專案不包括對這些 Manning 書籍的完全訪問權限。購買完整系列以在免費專案中解鎖此訪問權限!)
專案作者 Sashank Dara
Sashank Dara 在 IIIT-Bangalore 獲得了應用密碼學和威脅情報領域的網路安全博士學位。他是一位在該領域擁有超過 17 年經驗的專家網路安全技術專家,包括擔任 Manipal Global Education Services 網路安全計劃的顧問顧問,以及擔任包括 Appknox、Haltdos 和 SecurityJourney.com 在內的安全新創公司的安全技術和戰略顧問。他仍然是教育技術、IT/IT、學術界和房地產領域頂級公司值得信賴的資訊安全顧問和顧問。他是雲、SDN 和 NFV 安全領域 5 項美國專利(和 3 項 IETF 草案)的共同發明人,並在 IEEE、LNCS 會議上發表了十多篇關於雲端安全、隱私、密碼學和威脅情報。 Dara 在安全會議和受邀演講中發表了多產的演講,目前是 Seconize 的首席技術長和聯合創始人,這是一家屢獲殊榮的網路安全新創公司,開創了網路風險和合規管理 SaaS 產品套件。
先決條件
這些 liveProjects 適用於熟悉基本 REST API 和 Java 並有興趣學習建構簡單且安全的檔案共享 API 服務的程式設計師。要開始這些 liveProjects,您需要熟悉以下內容:
工具
- Java 基礎
- Spring 基礎
- JDBC 基礎
- AWS S3 file sharing 基礎
- Testing APIs via Postman
- Ubuntu as host system 基礎
- Docker 基礎
- Git 基礎
技術
- Debugging 基礎
- Code reviews
- Code refactoring
- Unit testing
- Security testing
- AWS service configurations
你將學習
在這個 liveProject 系列中,您將學習使用安全編碼和測試實踐來建構和保護一個簡單的檔案共享服務。
- 了解雲端安全的責任共擔模型
- 使用 Swagger 了解 Open API Specification 3.0 中指定的 ShareSafe API
- 設置環境以實現使用 Java Spring 提供的 API 規範
- AWS S3 Java 開發工具包和 API
- 實現基本的檔案共享 REST API 服務
- 使用用戶名和密碼實現基於 JWT 的 HTTP 身份驗證
- 使用可共享的 URL 實現文件共享
- 根據授予的權限授權檔案下載請求
- 使用 Postman 測試參考 API 實現的功能
- 訪問控制測試
- 對上傳檔案的惡意軟體分析
- 使用標準格式記錄所有用於審計目的的請求
你必須登入才能發表留言。