IT-Security

Sichere Webanwendungen für Entwickler

Ausbildungsziel

Dieses Seminar richtet sich vornehmlich an Entwickler und Architekten, die ihre Webanwendungen gegen Hackerangriffe schützen wollen. Am Anfang wird gezeigt, wie eine unsichere Anwendung manipuliert und letztlich auch angegriffen werden kann. Alle Angriffe aus der OWASP Top 10 Liste werden behandelt. Darauf aufbauend werden Gegenmaßnahmen ausgearbeitet, um eine sichere Softwareentwicklung zu gewährleisten.

Das Seminar basiert auf konkreten Erfahrungen aus der Praxis: Unsere Trainer sind selbst erfahrene Entwickler und Penetrationstester.

Die Teilnehmer führen selbständig Angriffe gegen eine Ziel-Anwendung durch und verwenden dabei aktuelle Analyse- und „Hacker“-Tools, um Angriffs- und Verteidigungsstrategien in der Tiefe zu verstehen (Prinzip: Kenne deinen Feind!). Sie setzen sichere Praktiken am PC um. Dabei werden sämtliche relevante Aspekte der Absicherung besprochen. Prinzipien und praktische Umsetzung von sicherer Eingabevalidierung, Gestaltung von URLs, Verwendung von Hidden Fields, Datenbankzugriff und vieles mehr werden ausführlich behandelt. Dadurch lernen Entwickler, wie sie von Beginn an fundierte Sicherheit in Anwendungen implementieren können.

Die Zusammenhänge und die Abgrenzungen zu anderen Sicherungsmaßnahmen wie Web Application Firewalls oder Coding-Richtlinien vermitteln auch den großen Kontext der sicheren Entwicklung.

Am Ende des Seminars verfügen die Teilnehmer über ein tiefgehendes Verständnis für die Verbindung zwischen Code und Sicherheit und sind in der Lage, Ihren eigenen Code sicher zu gestalten. Zusätzlich sind sie in der Lage, das Vorgehen bei Angriffen gegen Web-Applikationen nachzuvollziehen und dies während der Anwendungsentwicklung durch besonderen Fokus auf Sicherheit zu berücksichtigen.

Zielgruppe

Entwickler, Architekten

Voraussetzungen

Gute Kenntnisse in Webentwicklung (Java, .NET oder PHP)

Trainingsinhalte

• Überblick über Webanwendungen und Sicherheit
• Gefahrenquellen für Webanwendungen
• Angriffe gegen Web Anwendungen
• OWASP Top 10, WASC, usw.
• Allgemeine Absicherungsmaßnahmen
• Validierung, Whitelisting, Blacklisting
• Encoding und Decoding
• Sichere URL-Gestaltung
• Demonstrationen und Live Hacking
• Angriffe und Verteidigungen
• Mehrere Angriffe/Probleme aus OWASP und andere Quellen, z.B.:
• SQL-Injection
• Cross-Site Scripting
• Parameter Manipulation
• Header Manipulation
• HTTP Request Splitting
• Logging Angriffe
• Script Injection
• Transport Layer Protection
• Unvalidated Redirects und Forwards
• Kryptografische Schwachstellen im Code
• Angriffe gegen Datenbanken
• Applets, Flash, Silverlight & Co.
• Und mehr....
• Weitergehende Sicherheitsmaßnahmen
• Web Application Firewalls
• Code Review
• Secure Development Lifecycle
• Application Security Policies