Schulungen

Advanced Web Application Security Testing

Neue client- und serverseitige Technologien wie Flash, Ajax, Webservices und immer wieder neue Angriffsmöglichkeiten stellen immer höhere Ansprüche an die Prüfung von Webanwendungen auf Schwachstellen.

Ausgehend von einer Vertiefung aktueller Bedrohungen wie XSS, CSRF etc. werden in dieser Schulung die praktischen Gefährdungen diskutiert und deren Identifikation anhand zahlreicher Beispiele von den Kursteilnehmern selbst nachvollzogen. Es werden konkrete Best Practices und Techniken für die Durchführung von anspruchsvollen Sicherheitsuntersuchung von Enterprise Webanwendungen und Webservices vermittelt und geeignete Tools vorgeführt. Abgerundet wird die Veranstaltung durch die Diskussion von Techniken zur Modellierung (Threat Modelling), der Bewertung und das Reporting von Schwachstellen. In zahlreichen Übungen werden die Inhalte anhand praktischer Beispiele vertieft und nachvollzogen.

 

Kurzbeschreibung

 

Zielgruppe

Mit der Sicherheit von Webanwendungen betraute Pentester und Auditoren in Unternehmen

 

Lernziele

 

Die Kursteilnehmer lernen, wie sie professionelle und umfassende Sicherheitsuntersuchungen (Pentests) von Webanwendungen eigenständig durchführen, Findings validieren, bewerten, dokumentieren und wie sie hierzu die verschiedensten Tools und Techniken sinnvoll einsetzen.

 

Methodik

 

Vortrag und viele begleitende Übungen. Die Teilnehmer werden gebeten für die praktischen Übungen einen Laptop zur Schulung mitzubringen. Die Laptops sollten mit administrativen Rechten ausgestattet sein und über ein Windows Betriebssystem verfügen. Internetzugang oder eine Vernetzung ist nicht erforderlich. Die notwendige Software wird Ihnen zu Beginn der Schulung ausgehändigt.

 

Kursinhalt

Thematisiert wird u.a.:

  • Assessment- und Angriffs-Techniken
  • Tools
  • Plattformspezifische Bedrohungen (.NET & J2EE)
  • Filter Evasion Techniken
  • Webservice- und Ajax-Angriffe
  • Intranet Hacking
  • Browser Hijacking
  • Web 2.0 und Mashups
  • Threat Modelling
  • Metriken (DREAD und STRIDE) – Dokumentation & Reporting

 

Voraussetzungen

 

Allgemeine Netwerkkenntnisse, Kenntnisse von Webtechnologien, allgemeine Programmierkenntnisse (Java, PHP, ASP.NET, Perl).

 

Dauer

 

 

 

2 Tage
Gerne beraten wir Sie bezüglich der individuellen Ausgestaltung Ihrer Schulung.