Der Kurs vermittelt die typischen und gefährlichsten Sicherheitsschwachstellen in modernen Webapplikationen, unter anderem die laut der OWASP-Organisation gefährlichsten und am häufigsten zu findenden Sicherheitsschwachstellen.
Der Kursinhalt ist dabei unabhängig von einer bestimmten Programmiersprache, da sich die Angriffsszenarien für alle modernen Webapplikationen (Java, .NET, PHP, Python, Perl, etc.) ähneln. Sicherheitsschwachstellen, die nur in systemnahen Code (C/C++) zu finden sind, wie zum Beispiel Buffer Overflows, Integer Overflows oder Format String Vulnerabilities werden in diesem Kurs nicht behandelt. Codebeispiele im Kurs sind in PHP, JAVA oder Pseudocode gehalten.
Aus dem Inhalt:
Der Kurs fokussiert sich unter anderem auf die folgenden Themengebiete, wobei die Auswahl der Themen bis zu einem gewissen Grad von den Vorkenntnissen und Wünschen der Teilnehmenden abhängig ist:
Injection-Angriffe
Authentifizierung und Session-Management
Kontensicherheit
Schutz gegen Brute-Force-Angriffe auf den Login
Single sign-on (JSON Web Tokens (JWT), OpenID Connect)
Autorisierung (OAuth)
Fehlende Zugriffskontrolle auf funktionaler Ebene
Unsichere direkte Objektreferenzen
TLS-Sicherheit
Angewandte Kryptographie
Cross-Site Scripting (XSS)
Unsichere Deserialisierung
Komponenten mit bekannten Schwachstellen
Logging und Monitoring
Same-Origin Policy (SOP)
Cross-Site Request Forgery (CSRF)
Cross-Origin Resource Sharing (CORS)
Sicherer Datei-Upload
WebSocket-Sicherheit
Ziel dieses Trainings ist es, Entwicklungsteams über die häufigsten und gefährlichsten Programmierfehler bei der Entwicklung von Webanwendungen zu unterrichten und Test-Teams die notwendigen Kenntnisse zur Prüfung sicherheitsrelevanter Anwendungen zur Verfügung zu stellen. Über die reine Vermittlung von Wissen hinaus steht das Schärfen des Sicherheitsbewusstseins des Teams im Mittelpunkt. Die theoretischen Konzepte des Kurses werden durch viele Live-Demos praktisch veranschaulicht. Dies gewährt Einblicke in den Ablauf typischer Angriffe, zeigt, wie einfach sich gewisse Angriffe dank ausgereifter Hacking-Tools realisieren lassen und verdeutlicht die oft unterschätzten tatsächlichen Auswirkungen von Sicherheitslücken. Ziel ist es, das Team von der Notwendigkeit eines sicheren Programmierstils zu überzeugen und ein Bewusstsein zu schaffen, das die Softwaresicherheit unabhängig von gerade aktuellen und im Kurs erläuterten Angriffsmethoden erhöht.
Der Kurs richtet sich an Entwicklungs- und Test-Teams von Webapplikationen ohne besondere Vorkenntnisse in der sicheren Entwicklung.
SoftwareentwicklerInnen
IT-Projektverantwortliche
SoftwaretesterInnen
Requirement Engineers
Eine Teilnahmebestätigung für den Kurs wird ausgestellt.
Öffentlicher Termin: Die Kosten für den 3-tägigen Kurs belaufen sich auf 2.290,00 € (exkl. UST) pro Person. In der Kursgebühr sind die Kursmaterialien sowie die volle Verpflegung enthalten. Inhouse Schulung: Die Kosten werden je nach konkretem Bedarf des Unternehmens individuell in Form eines Pauschalbetrags festgelegt.
is team lead of the Software Security Group at SBA Research.
Consulting Area
Ulrich’s activities lie mainly in penetration testing, secure software development, secure development lifecycle, and security training in these areas.
is senior information security consultant at SBA Research.
Consulting Area
Michael is a seasoned expert in the technical aspects of information security, with a particular emphasis on conducting thorough penetration tests across diverse computing environments. His expertise encompasses:
In addition to his hands-on consulting work, Michael spearheads the development of multiple in-house software tools, ensuring that they meet the highest security standards. Beyond coding, he is also an accomplished trainer and speaker, providing training sessions and lectures on secure application development, APIs, and microservices.
Michael is also one of the co-founders of sec4dev, SBA Research’s premier security conference and training event tailored for developers.
