Sichere Webentwicklung

Webbasierte Anwendungen absichern und verteidigen

Webanwendungen sind verführerisch einfach zu erstellen: ein paar Zeilen Code und eine neue Anwendung ist weltweit verfügbar. Programmierer werden von der einfachen Entwicklung jedoch oft dazu verleitet, Sicherheitsaspekte zu vernachlässigen. Dadurch entstehen weltweit zugängliche Einfallstore für Angreifer, die oft mit einfachsten Mitteln für Hackerangriffe genutzt werden können.

Im Intensivseminar Sichere Webentwicklung wird den Teilnehmern anhand von Real-Life-Beispielen vermittelt, wie ein Angreifer Sicherheitslücken ausspäht und ausnutzt. Neben altbewährten und immer wieder brisanten Themen wie SQL Injection, Remote File Inclusion und Cross-Site Scripting kommen auch brandaktuelle Gefahren durch HTML zur Sprache. Ziel des Intensivseminars ist, dass Sie kleinere Audits bzw. Penetrationstests selbstständig durchführen können. Zudem sind Sie in der Lage gängige Angriffe zu verstehen und Ihre Webapplikation im Bezug auf die erlernten Themen nachhaltig abzusichern.

Trainer und Dozenten

Seit über einer Dekade ist Dr. Marcus Niemietz als Penetrationstester und Web-Security-Trainer aktiv. Als Mitgründer von Hackmanit ist er seit 2014 für den Bereich der Websicherheit verantwortlich. Darüber hinaus forscht er aktiv an der Ruhr-Universität Bochum, um sowohl UI-Redressing als auch Cross-Site Scripting Angriffe zu verhindern. Er ist als Sprecher auf zahlreichen internationalen IT-Security Konferenzen aktiv; in der Vergangenheit u. a. auf der renomierten Hackerkonferenz von Microsoft, der Black Hat (YouTube) sowie der USENIX Security (YouTube). Herr Niemietz ist ein publizierender Buchautor im Bereich Websicherheit.

Eindrücke anderer Teilnehmer auf der Grundlage anonymer Evaluationsergebnisse:
  • "+ Tolle Lernatmossphäre, + Linux Umgebung! + speziell für ITler, + kein nerviges Pendeln zwischen Hotel und Schulungsort"
  • "Fachliche Qualität authentisch, glaubwürdig, qualitativ hochwertig"
  • "Viele Insiderinformationen aus dem eigenen Lab. Bin total geflashed!"

Voraussetzungen

Der Kurs richtet sich grundlegend an Personen, die sich mit der Thematik des Web-Hacking vertraut machen möchten. Idealerweise sind Sie im Webumfeld beheimatet. Dieser Kurs hilft folglich Webentwickler, Leiter einer Webentwicklungsabteilung oder bspw. auch Information Security Officer. Es ist hilfreich, wenn Sie grundlegende Kenntnisse in HTML, CSS und JavaScript mitbringen.

Inhalt

Der erste Tag beschäftigt sich hauptsächlich mit der Front-End-Sicherheit von Webanwendungen. Der zweite Tag gewährt einen vertieften Einblick in die Back-End-Sicherheit. Am dritten Tag wird darüber hinaus Spezialwissen vermittelt, das letztendlich zur Erstellung einer Checkliste für die langfristige Härtung von Webanwendungen führt.
  • Einleitung
  • Minimale Grundlagen
    • HTTP, HTML, CSS, XML und das DOM
  • Same-Origin-Policy (SOP-DOM, CORS)
  • Social Engineering und Information Disclosure
  • Logical Flaws
  • Cross-Site Request Forgery
  • Cross-Site Scripting
    • Nichtpersistentes XSS
    • Persistentes XSS
    • DOM-basiertes XSS
    • Self-XSS
    • Mutation-basiertes XSS
    • Scriptless Attacks
  • Dangling Markup
  • Session Hijacking und Session Fixation
  • Clickjacking und UI-Redressing
  • DOM Clobbering
  • File Inclusions und Path Traversal
  • Remote Command und Code Execution
  • SQL- und noSQL-Injections
  • Secure-Coding
    • OWASP TOP-10
    • Zeichensätze und DOCTYPE-Switch
    • Content Security Policy
    • Security Requirements
Sprache: Deutsch
Beispiel-Folien: 15 Seiten der Schulungsunterlagen