c//m//t - Schulungen und Trainings
 

IT-Security

Sichere Webanwendungen für Manager und Architekten

Ausbildungsziel

Dieses Seminar richtet sich vornehmlich an IT-Sicherheitsmanager, Projektmanager und Architekten, die die Anforderungen und Lösungswege an sichere Webanwendungen im Unternehmen verstehen wollen. Es ist auch für Entwickler geeignet, die einen Überblick über die Thematik suchen.

Beginnend bei den Grundlagen erfahren Sie zunächst, wie eine unsichere Anwendung manipuliert und letztlich auch angegriffen werden kann. Die Angriffe werden von konkreten Beispielen und einer praxisnahen „Live-Hacking“ Vorführung begleitet, die Schwachstellen im Framework oder Anwendungsserver bzw. beim Datenbankzugriff praktisch und greifbar darstellt. Alle Angriffe aus der OWASP top 10 Liste werden behandelt.

Darauf aufbauend werden anschließend Gegenmaßnahmen und Schutzstrategien vorgestellt. Diese werden im Kontext eines „Secure Software Development Lifecycles“ gesetzt, der auf internationalen Standards wie BSI-MM und OpenSAMM basiert. Es werden alle relevanten Schutzmechanismen besprochen und deren Vor- bzw. Nachteile behandelt.

Kosten und Aufwände verschiedener Maßnahmen werden dargestellt, damit je nach Budget- und Zeitrahmen eine Auswahl getroffen werden kann.

Am Ende des Seminars verfügen die Teilnehmer über ein tiefgehendes Verständnis für die Absicherung von Webanwendungen und verstehen die Anforderungen und Lösungswege, um sichere Software im Unternehmen umzusetzen.

Zielgruppe

IT-Sicherheitsmanager, IT-Projektmanager, IT-Architekten, Entwickler

Voraussetzungen

Grundkenntnisse von Webanwendungen und HTTP

Trainingsinhalte

  • Überblick über Webanwendungen und Sicherheit
  • Gefahrenquellen für Webanwendungen
  • Angriffe gegen Webanwendungen
  • OWASP Top 10
  • Gefahren durch Web 2.0 (AJAX)
  • Demonstration
  • Live-Hacking einer Webanwendung
  • Allgemeine Absicherungsmaßnahmen
  • Validierung, Whitelisting, Blacklisting
  • Encoding und Decoding
  • Sichere URL-Gestaltung
  • Sicherer Datenbankzugriff
  • Abhärtung der Infrastruktur
  • Verteidigungsstrategien
  • Web Application Firewalls
  • Code Review (Tools und Prozess)
  • Secure Development Lifecycle: BSI-MM, OpenSAMM
  • Application Security Policies
  • Richtige Formulierung von Sicherheitsanforderungen

nach oben Drucken