Webapplikationssicherheit

Kursziele

Ziel dieses Trainings ist es, Entwicklungsteams über die häufigsten und gefährlichsten Programmierfehler bei der Entwicklung von Webanwendungen zu unterrichten und Test-Teams die notwendigen Kenntnisse zur Prüfung sicherheitsrelevanter Anwendungen zur Verfügung zu stellen. Über die reine Vermittlung von Wissen hinaus steht das Schärfen des Sicherheitsbewusstseins des Teams im Mittelpunkt. Die theoretischen Konzepte des Kurses werden durch viele Live-Demos praktisch veranschaulicht. Dies gewährt Einblicke in den Ablauf typischer Angriffe, zeigt, wie einfach sich gewisse Angriffe dank ausgereifter Hacking-Tools realisieren lassen und verdeutlicht die oft unterschätzten tatsächlichen Auswirkungen von Sicherheitslücken. Ziel ist es, das Team von der Notwendigkeit eines sicheren Programmierstils zu überzeugen und ein Bewusstsein zu schaffen, das die Softwaresicherheit unabhängig von gerade aktuellen und im Kurs erläuterten Angriffsmethoden erhöht.

Zielgruppe

Der Kurs richtet sich an Entwicklungs- und Test-Teams von Webapplikationen ohne besondere Vorkenntnisse in der sicheren Entwicklung.

Inhalt

Der Kurs vermittelt die typischen und gefährlichsten Sicherheitsschwachstellen in modernen Webapplikationen, unter anderem die laut der OWASP-Organisation gefährlichsten und am häufigsten zu findenden Sicherheitsschwachstellen.

Die Teilnehmenden probieren die behandelten Hacking-Angriffe dabei selbst praktisch aus. Dazu ist es notwendig, dass die Teilnehmenden ihre eigenen Laptops mitnehmen. In einer Übungsumgebung kann das Erlernte so praktisch umgesetzt werden, besprochene Angriffe selbst ausprobiert werden und Schutzmechanismen selbst entwickelt werden. Die Teilnehmenden lernen die typische Arbeitsweise von HackerInnen sowie verfügbare Hacking-Tools kennen, um später sichere Webapplikationen entwickeln zu können.

Der Kursinhalt ist dabei unabhängig von einer bestimmten Programmiersprache, da sich die Angriffsszenarien für alle modernen Webapplikationen (Java, .NET, PHP, Python, Perl, etc.) ähneln. Sicherheitsschwachstellen, die nur in systemnahen Code (C/C++) zu finden sind, wie zum Beispiel Buffer Overflows, Integer Overflows oder Format String Vulnerabilities werden in diesem Kurs nicht behandelt. Codebeispiele im Kurs sind in PHP, JAVA oder Pseudocode gehalten.

Aus dem Inhalt:

Der Kurs fokussiert sich unter anderem auf die folgenden Themengebiete, wobei die Auswahl der Themen bis zu einem gewissen Grad von den Vorkenntnissen und Wünschen der Teilnehmenden abhängig ist:

  • Injection-Angriffe
  • Authentifizierung und Session-Management
  • Kontensicherheit
  • Schutz gegen Brute-Force-Angriffe auf den Login
  • Single sign-on (JSON Web Tokens (JWT), OpenID Connect)
  • Autorisierung (OAuth)
  • Fehlende Zugriffskontrolle auf funktionaler Ebene
  • Unsichere direkte Objektreferenzen
  • TLS-Sicherheit
  • Angewandte Kryptographie
  • Cross-Site Scripting (XSS)
  • Unsichere Deserialisierung
  • Komponenten mit bekannten Schwachstellen
  • Logging und Monitoring
  • Same-Origin Policy (SOP)
  • Cross-Site Request Forgery (CSRF)
  • Cross-Origin Resource Sharing (CORS)
  • Sicherer Datei-Upload
  • WebSocket-Sicherheit

Teilnahmebestätigung für den Kurs wird ausgestellt.

Hinweis

Dauer: 3 Tage

Sprache: Deutsch (Kursmaterial in Deutsch)

Der Kurs wird als „Bring your own laptop“-Kurs geführt. Es wird erwartet, dass Kursteilnehmenden ihre eigenen PCs mitbringen, um sich auf diese Art aktiv mit dem Kursinhalt auseinanderzusetzen. Theoretisch beschriebene Themen werden so von den Kursteilnehmenden selbst in der Praxis ausprobiert.

Kosten öffentlicher Kurs

Die Kosten für den 3-tägigen Kurs belaufen sich auf 1.960 € (exkl. UST) pro Person. In der Kursgebühr sind die Kursmaterialien sowie die volle Verpflegung enthalten.

Termine 2020

09.09.-11.09.2020 (09:00 -17:00)

This Website uses Cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close