Schulungen

Secure Coding mit Java EE

Dieser Kurs vermittelt Softwareentwicklern das Wissen, um Webanwendungen nachhaltig sicher zu entwickeln:

  • Wie Angriffe gegen Webanwendungen durchgeführt werden
  • Wie sich Fehler in der Entwurfs- und Implementierungsphase vermeiden lassen
  • Wie sich Schwachstellen im Javacode identifizieren lassen
  • Sicheres Deployment – Absicherung vorhandener Anwendungen mit minimalem Aufwand
  • Anwendung Java Security APIs, Frameworks und Tools

Der Kurs setzt auf anerkannte Best Practices und langjährige Erfahrungen der mgm security partners GmbH sowie des Kursleiters auf. Es kann auf spezifische Wünsche der Kursteilnehmer eingegangen werden. In zahlreichen Übungen werden die Inhalte anhand praktischer Beispiele vertieft und nachvollzogen.

 

Kurzbeschreibung

Zielgruppe

Java-Entwickler, Architekten, QA

 

Lernziele

 

 

Als Ziel dieses Kurses sollen alle Kursteilnehmer ein grundlegendes Verständnis der Gefährdungen für Webanwendungen allgemein erlangen und in der Lage sein, sichere Webanwendungen unter Java EE zu entwerfen, implementieren und nach bekannten Schwachstellen zu untersuchen.

 

Methodik

 

Vortrag und viele begleitende Übungen.

 

Kursinhalte

 

Generelle Probleme von Internet Architekturen

  • Einführung in HTTP
  • Session Management & Cookies
  • Enkodierungen

Ausnutzung von Schwachstellen im Javacode

  • Wie werden Schwachstellen von Angreifern ausgenutzt?
  • Welche Konsequenzen ergeben sich daraus für die Entwicklung?

Entwicklung sicherer Webanwendungen unter Java EE

  • Prinzipien sicherer Anwendungsentwicklung
  • Eingabe- und Ausgabevalidierung
  • Authentisierung
  • Session Management
  • Access Controls
  • Einsatz von Kryptographie
  • Fehlerbehandlung und Logging
  • Absicherung der Bussiness Logik
  • Sicherheit von WebServices

Auditierung von Javacode

  • Vorgehensweise beim manuellen Code Review
  • Automatische Source Code Analyse

Weitere Kursinhalte

  • Sicherheit in Software-Entwicklungsprozessen
  • Software Security Development Lifecycle (SDLC)
  • Architektur & Deploymentstrategien
  • Einsatz von MVC-Frameworks (z.B. Struts, Spring MVC)

 

Voraussetzungen

 

  • Allgemeine Java-Programmierkenntnisse
  • Kenntnisse zur Webentwicklung (HTML, JSP, Servlets)
  • Besuch des SIGS-DATACOM-Seminars „Best Practices für sichere Webanwendungen“ hilfreich aber nicht erforderlich

Hinweis

Die Teilnehmer werden gebeten, für die praktischen Übungen einen Laptop zur Schulung mitzubringen. Die Laptops sollten mit administrativen Rechten ausgestattet sein und über ein Windows Betriebssystem verfügen. Internetzugang oder eine Vernetzung ist nicht erforderlich. Die notwendige Software wird Ihnen zu Beginn der Schulung ausgehändigt.

 

Dauer

 

 

2 Tage
Gerne beraten wir Sie bezüglich der individuellen Ausgestaltung Ihrer Schulung.