Secure Coding für Java
Das Handwerkszeug, um Webanwendungen von Grund auf sicher zu entwickeln
Diese Schulung gibt Antworten auf die folgenden Fragen
- Wie sehen realistische Angriffe aus und was sind die Konsequenzen?
- Wie lassen sich hier Fehler bereits in der Entwurfsphase vermeiden?
- Wie vermeide ich gängige Umsetzungsfehler?
- Wie identifiziere ich Schwachstellen in bestehendem Code?
Headline 3
Text 3
Beschreibung
Einzeln oder in kleinen Gruppen werden in unserer modernen Schulungsumgebung realistische Schwachstellen identifiziert, korrigiert, Lösungen verifiziert und diskutiert. Folgende Fragestellungen werden dabei spezifische zum behandelten Szenario immer wieder adressiert:
- Wie sehen realistische Angriffe aus und was sind die Konsequenzen?
- Wie lassen sich hier Fehler bereits „theoretisch“ (z. B. in der Design-/Entwurfsphase) vermeiden bzw. einschränken?
- Wie vermeide ich gängige Umsetzungsfehler?
Wie identifiziere ich Schwachstellen im bestehenden Code?
Im Verlauf der Schulung werden dedizierte, exemplarische Codebeispiele mit eingebauten Schwachstellen, primär aus der „OWASP Top 10“, analysiert und anschließend selbstständig korrigiert, diskutiert sowie gegebenenfalls statisch oder zur Laufzeit verifiziert. Unsere Schulungsumgebung gewährleistet dabei einen effizienten Zugriff auf das Übungsmaterial. Die Lösungen und Lösungsansätze der Teilnehmer werden gemeinsam diskutiert und überprüft.
Sämtliche Inhalte können in Absprache mit Ihnen spezifisch für Sie angepasst werden!
Kursinhalt
- Übergreifende Strukturierung
- Eingabe- und Ausgabebehandlung
- Authentifizierung und Passwort Management
- Session Management
- Zugriffskontrolle
- Kryptographie
- Fehlerbehandlung und Logging
- Datenschutz
- Kommunikationssicherheit
- Systemkonfiguration
- Datenbank Sicherheit
- Dateimanagement
- Speicherverwaltung
- Auswahl betrachteter Technologien (anpassbar):
- Bean-Validation
- Bcrypt/Scrypt
- JCE, JCA, JSSE
- JPA / Prepared Statements
- Servlet, JSP, JSTL, JSF, Facelets
- JSoup
- Coverity
- JSON Web Token (JWT)
- JQuery
- DOMPurify
- Xerces, JAXB, Jackson, Jersey usw.
Diese Schulung richtet sich an Unternehmen und Organisationen. Sie wird individuell auf Ihre Anforderungen und die Vorkenntnisse des Teams zugeschnitten und kann bei Ihnen im Haus oder online durchgeführt werden. Schon ab drei Teilnehmern kann diese Schulung wirtschaftlich sein.
Zielgruppe
- Architekten
- Softwareentwickler
- Projektleiter
Dauer & Format
- 3 bis 5 Tage, individuell abgestimmt
- Präsenz- oder Online-Schulung
- Arbeitsumgebung: NinjaDVA
Voraussetzungen
Best Practices für sichere Webanwendungen oder gleichwertiger Kenntnisstand
Zusatzmodul: Bring your own code
Stellen Sie uns im Vorfeld beliebigen eigenen Code zur Verfügung.
Wir bereiten die Schulungsinhalte so auf, dass Ihr Code während der Schulung als Untersuchungsgegenstand und Anschauungsmaterial nutzbar wird. Die Schulung wird dadurch lebendiger und für die Teilnehmer ergibt sich, neben dem sehr praxisbezogenen Erlernen des Themas, der unmittelbare Begleitnutzen der Erkennung und Diskussion echter Schwachstellen in der eigenen Anwendung.
- Ablauf der Voruntersuchung:
Ihr gelieferter Code wird durch unsere inhouse bereitgestellten Scanner analysiert – keine Ihrer Code-Zeilen verlässt dabei unser Netzwerk!
- Eine lokal bereitgestelltes, auf Code spezialisiertes LLM bewertet die gelieferten Findings vollautomatisch, filtert False-Positives aus und versieht die restlichen Findings mit einer Kritikalität.
- Der Schulungsleiter bewertet die kritischsten Findings und entscheidet, welche davon schulungsrelevant sind.
- In der Schulung wird auf die gefundenen Schwachstellen eingegangen. Entsprechende Gegenmaßnahmen können dadurch sehr praxisnah in der Gruppe diskutiert und bei Bedarf auch vertieft werden.
Unsere Trainer
Unser Versprechen: aus der Praxis, für die Praxis & immer auf dem neuesten Stand. Deshalb sind alle unsere Trainer selbst aktiv tätige Experten mit langjähriger Erfahrung im unterrichteten Fachgebiet.
Mehr ÜBER Dr. Bastian Braun
Bastian Braun ist Senior Consultant IT Security bei mgm security partners. Er arbeitet an der Entwicklung sicherer Web-Anwendungen mit Hilfe agiler Prozesse, leitet Seminare für Entwickler, Projektleiter und Penetrationstester, führt Produkt- und Sicherheitsanalysen durch und berät Kunden in allen Belangen der Web Security.
Das Thema Web Security beschäftigt ihn seit mehr als 15 Jahren aus akademischer Forschungsperspektive und als angewandte Best Practice. Der Transfer von akademischen Forschungsergebnissen in den industriellen Alltag macht ihm besonders viel Spaß. Er ist Board-Member des deutschen OWASP Chapters und regelmäßiger Sprecher im Rahmen einschlägiger Konferenzen.
Dr. Bastian Braun
Mehr ÜBER Dr. Benjamin Kellermann
Benjamin Kellermann ist Informationssicherheitsberater sowie Penetrationstester bei der mgm security partners in Dresden. Seit 2004 beschäftigt er sich intensiv mit Informationssicherheit und forschte zu sicheren Webanwendungen am Lehrstuhl Datenschutz und Datensicherheit bei Prof. Andreas Pfitzmann. Mehrere Jahre unterrichtete er im Gebiet der Informationsicherheit und ist Sprecher auf zahlreichen Fachkonferenzen. Durch viele Sicherheitsaudits sowie Penetrationstests hat Herr Kellermann den notwendigen Sachverstand, auch auf technisch sehr tief differenzierte Fragen einzugehen.
Dr. Benjamin Kellermann
Mehr ÜBER Mirko Richter
Mirko Richter ist SSDLC-Berater, SAST-Spezialist, Penetrationstester und Niederlassungsleiter bei der mgm security partners in Dresden und verfügt über langjährige Erfahrungen als Entwickler, Projektleiter und Architekt.
Er verfügt über tiefgreifendes Know-How und Erfahrungen zur Härtung von Softwarelösungen im webbasierten Bereich. Um dieses Know-How aufrecht erhalten zu können, entwickelt er auch heute noch neben seiner Beratertätigkeit aktiv in Software-Projekten mit und kann daher auf entsprechende Fragestellungen in hoher Detailtiefe eingehen.
Mirko Richter
Mehr ÜBER Björn Kirschner
Björn Kirschner ist Informationssicherheitsberater sowie Penetrationstester bei mgm security partners in München. Björn blickt auf viele Penetrationstests unterschiedlichster Technologien zurück (Webapplikationen, mobile Apps, Netzwerkinfrastruktur, Server, …). Neben Seminaren führt er Sourcecode-Analysen durch und berät Kunden in vielen Belangen der Webanwendungssicherheit, vor allem im Rahmen eines sicheren Entwicklungsprozesses.
Björn Kirschner
Mehr ÜBER Reinhard Böhme
Reinhard Böhme ist ein erfahrener IT-Sicherheitsberater und Trainer mit einem breiten technischen Background und praktischer Expertise in Penetrationstests (Web, Mobile, Infrastruktur, Host-Audits, ASVS) sowie Cloud-Sicherheit (Azure, AWS). Er verbindet fundierte Kenntnisse moderner Cloud-Infrastrukturen und Informationssicherheit mit praktischer Erfahrung und macht komplexe Sicherheitsthemen für seine Seminarteilnehmer praxisnah und interessant.
Reinhard Böhme
Ihr Vorteil
Unsere Schulungen vermittelt nicht nur Wissen – sie verändert Denkweisen. Ihre Entwickler lernen, Sicherheitslücken frühzeitig zu erkennen und gezielt zu vermeiden. Das Ergebnis: robustere Anwendungen, mehr Vertrauen – und ein klarer Vorsprung im Projektalltag.
Alle Trainer sind aktiv tätige Security Consultants. Sie bringen ihre Erfahrung mit den alltäglichen, oftmals den Sicherheitsanforderungen widerstrebenden Problemstellungen ein und tragen damit zu einen pragmatischen, realitätsbezogenen Umgang mit Security bei.
- Praxisnahe Methoden statt Theorie, um typische Sicherheitslücken in Webanwendungen und Mobile Apps zu vermeiden
- Inhalte nach aktuellsten Standards durch aktiv tätige, erfahrene Security Consultants
- Sicheres Coding für langfristige Wartbarkeit und Qualität des Quellcodes
- Mehr Sicherheitsbewusstsein im Team verhindert frühzeitig Fallstricke
- Schutz vor Haftungsrisiken & Imageschäden