Ziel dieses Kurses ist es die Entwickler über die häufigsten und gefährlichsten Programmierfehler bei der Entwicklung von Webanwendungen zu unterrichten und Testern die notwendigen Kenntnisse zur Prüfung sicherheitsrelevanter Anwendungen zur Verfügung zu stellen. Über die reine Vermittlung von Wissen hinaus, steht das Schärfen des Sicherheitsbewusstseins der Entwickler im Mittelpunkt. Die theoretischen Konzepte des Kurses werden durch viele Live-Demos praktisch veranschaulicht. Dies gewährt Einblicke in die Arbeitsweise eines typischen Hackers, zeigt wie einfach sich gewisse Angriffe dank ausgereifter Hackingtools realisieren lassen und zeigt die oft unterschätzten tatsächlichen Auswirkungen von Sicherheitslücken. Ziel ist es die Entwickler von der Notwendigkeit eines sicheren Programmierstils zu überzeugen und ein Bewusstsein zu schaffen, das die Softwaresicherheit unabhängig von gerade aktuellen und im Kurs erläuterten Angriffsmethoden erhöht.
Der Kurs vermittelt die typischen und gefährlichsten Sicherheitsschwachstellen in modernen Webapplikationen, unter anderem die laut der OWASP– Organisation die gefährlichsten und am häufigsten zu findenden Sicherheitsschwachstellen.
Die Kursteilnehmer probieren die behandelten Hacker-Angriffe und Gegenmaßnahmen dabei selbst praktisch aus. Dazu ist es notwendig, dass Kursteilnehmer ihre eigenen Laptops mitnehmen. In einer Übungsumgebung kann so das Erlernte praktisch umgesetzt werden, besprochene Angriffe selbst ausprobiert werden und Schutzmechanismen selbst entwickelt werden. Kursteilnehmer lernen die typische Arbeitsweise eines Hackers sowie verfügbare Hacking-Tools kennen, um später sichere Webapplikationen entwickeln zu können.
Der Kursinhalt ist dabei unabhängig von einer bestimmten Programmiersprache, da sich die Angriffsszenarien für alle modernen Webapplikationen (Java, .NET, PHP, Python, Perl, etc.) ähneln. Sicherheitsschwachstellen, die nur in systemnahen Code (C/C++) zu finden sind, wie zum Beispiel Buffer Overflows, Integer Overflows, Format String Vulnerabilities werden in diesem Kurs nicht behandelt. Codebeispiele im Kurs sind in PHP, JAVA oder Pseudocode gehalten.
Nach Abschluss dieses Seminars haben die Teilnehmer Wissen zu folgenden Themen:
- Information Disclosure
- Cross-Site-Scripting
- SQL-Injections
- OS Command Injections
- Session Hijacking
- Session Authentication
- Cross-Site Request Forgery
- Unzureichende Sicherheitskonfiguration
- Unsichere Speicherung sensibler Informationen
- Unzureichende Rechteüberprüfung auf URLs
- Unzureichender Schutz auf der Transportschicht
- Open Redirects
- Sicherer Fileupload
- SSL-Angriffe, Gegenmaßnahmen
- Passwörter sicher speichern
- Ajax Security
- Advanced Cross-Site Scripting/Malicious Javascript
- Command & Control mit Javascript
- CSS History Hack
- Data URI
- Sicherheitskonzepte/Sichere Architektur
Alle Details einblenden
Zielgruppe
Dieses Seminar richtet sich an:
- Der Kurs richtet sich an Entwickler und Tester von Webapplikationen ohne besondere Vorkenntnisse in der sicheren Entwicklung.
Vorkenntnisse
Für dieses Seminar werden folgende Kenntnisse empfohlen:
- Gute Kenntnisse in der Programmierung von Webapplikationen
Schwerpunkte
- Information Disclosure
- Cross-Site-Scripting
- SQL-Injections
- OS Command Injections
- Session Hijacking
- Session Authentication
- Cross-Site Request Forgery
- Unzureichende Sicherheitskonfiguration
- Unsichere Speicherung sensibler Informationen
- Unzureichende Rechteüberprüfung auf URLs
- Unzureichender Schutz auf der Transportschicht
- Open Redirects
- Sicherer Fileupload
- SSL-Angriffe, Gegenmaßnahmen
- Passwörter sicher speichern
- Ajax Security
- Advanced Cross-Site Scripting/Malicious Javascript
- Command & Control mit Javascript
- CSS History Hack
- Data URI
- Sicherheitskonzepte/Sichere Architektur
Alle Details ausblenden
