Schulungen

Best Practices für sichere Webanwendungen

Dieses Grundlagenseminar gibt eine umfassende Einführung in die Web Application Security und vermittelt ein in sich geschlossenes, tiefgreifendes Konzept zur Herstellung nachhaltiger Sicherheit bei Webanwendungen, Webauftritten und Webservern. Lösungsansätze bei Programmierung, Software- und Systemarchitektur werden als generische Pattern angegeben, die sich leicht an die eigene Umgebung adaptieren lassen. Die Teilnehmer sind dadurch im Anschluß in der Lage, sicher(er)e Webanwendungen zu erstellen, bestehende Anwendung hinsichtlich grundlegender sicherheitsrelevanter Schwachstellen zu analysieren und zu bewerten sowie passende Maßnahmen abzuleiten.

Das Seminar bezieht die als richtungsweisend geltenden Arbeiten des OWASP (Open Web Application Security Project) maßgeblich mit ein. Dabei gehen die Inhalte über den verbreiteten Standard der OWASP Top 10 weit hinaus. Besonderer Wert wird auf Praktikabilität und Umsetzbarkeit der beschriebenen Maßnahmen gelegt.

Wenn das Training mehr als 2 Tage umfasst, kann unsere komfortable mobile Schulungsumgebung eingesetzt werden. Die Schwachstellen werden hierbei von den Teilnehmern durch das Lösen von spezifischen Aufgaben nachvollzogen und anschließend in der Gruppe diskutiert. Besonderen Wert legen wir dabei darauf, dass die Teilnehmer ihre eigenen Laptops mit ihrer individuellen Arbeitsumgebung verwenden.

Sämtliche Inhalte können in Absprache mit Ihnen spezifisch für Sie angepasst werden!

Kursinhalt

  • Grundlagen
    • HTTP-Grundlagen
    • Authentifizierung/Authorisierung, Access Control
    • Sessions, Cookies, Dom Storage, JWT
    • SOP, CORS
    • Security-Header (CSP, HSTS, etc.)
    • Kryptographie (Grundlagen, SSL/TLS, Zertifikate etc.)
    • SOAP, JSON
  • Angriffe
    • XSS (reflected, stored, dom-based)
    • Injection (SQL, LDAP, XML, Code, …)
    • Object Deserialization
    • CSRF, Clickjacking
    • JSONP Hijacking, CORS Misconfiguration
    • XML External Entity Includes
    • Logische/Semantische Angriffe, Phishing
  • Abwehr
    • Netzwerkseparierung, Firewalls, WAFs
    • Eingabevalidierung, Ausgabekodierung
    • Anti-Automatisierung
    • Best-Practices der Programmierung

Zielgruppe

  • Softwareentwickler
  • Architekten
  • Projektleiter

Dauer

2 bis 3 Tage oder individuell zugeschnitten

Voraussetzungen

keine

Trainer

Dr. Bastian Braun Sicherheitsberater in vielen Softwareprojekten
Mirko Richter 15 Jahre Softwareentwicklungserfahrung
Dr. Benjamin Kellermann
Maximiliane Zirm