Webanwendungssicherheit und Penetrationstests
Aktuelle Sicherheitslücken in Webapplikationen – Wie kann man sie entdecken, wie kann man sich vor Angriffen schützen?
Gegenstand des Seminars

Die Notwendigkeit Server technisch vor Angriffen zu schützen ist mittlerweile in der freien Wirtschaft und der öffentlichen Verwaltung bekannt und wird von den Administratoren umgesetzt.
Dem gegenüber ist die Sicherheit von Webanwendungen und damit der Schutz der dort verarbeiteten Daten in vielen Fällen unzureichend. Dies zeigen nicht zuletzt die – auch immer häufiger in der breiten Öffentlichkeit – bekannt gewordenen Datenskandale. Fachanwendungen in der öffentlichen Verwaltung und in Unternehmen verarbeiten sehr sensitive, in vielen Fällen personenbezogene Daten. Auch aus Datenschutzgründen muss daher der Sicherheit der Anwendungen ein hoher Stellenwert zukommen.

Zielsetzung

Das Seminar bietet einen Einstieg in das Thema Webanwendungssicherheit und vermittelt das Verständnis der spezifischen Angriffsmöglichkeiten, welchen Webapplikationen ausgesetzt sind. Die Teilnehmer können anhand von praktischen Beispielen und Demonstrationen die Lücken mit den höchsten Risiken und der größten Verbreitung (OWASP Top 10) nachvollziehen. Aus Zeit- und Effizienzgründen werden keine Hands-On-Übungen durchgeführt. Es werden jedoch praktische Empfehlungen gegeben, wie die Teilnehmer im Nachgang auf Basis kostenfreier Test-Werkzeuge autark entsprechende Penetrations-Übungen selbst durchführen können.

Zielgruppe

IT-Sicherheitsbeauftragte, CISOs, IT- und IT-Sicherheitsverantwortliche, IT-Administratoren, Entwicklungs-Teamleiter, Webentwickler, Ermittler in Strafverfolgungsbehörden, IT-Dienstleister, Datenschutzbeauftragte.

Seminarablauf

Themenüberblick, 09:30-17:00 Uhr: 

  • Einführung in relevante Organisationen (OWASP, WASC) und Vorgehensweisen (Source-Code-Analyse, Penetrationstests)
  • Beispiele in der öffentlichen Wahrnehmung
  • Die zehn häufigsten Sicherheitsrisiken bei Webanwendungen: OWASP Top 10 (u. a. SQL-Injection, Cross-Site-Scripting, CSRF, Denial-of-Service)
  • Interaktive Demonstrationen zu allen Risiken
  • Aufzeigen der Auswirkungen
  • Passende Beispiele mit realem Bezug
  • Vorstellung von Prüfwerkzeugen und Methoden bei der Prüfung
  • Vorstellung des Bausteins “Webanwendungen” aus dem IT-Grundschutz des BSI

OWASP = Open Web Application Security Project
WASC = Web Application Security Consortium

Referenten
Tobias  Glemser,

Geschäftsführer der secuvera GmbH, verfügt über langjährige Erfahrung im Bereich Sicherheitsüberprüfungen und Penetrationstests. Er ist BSI-zertifizierter Penetrationstester und Certified Ethical Hacker. Darüber hinaus ist er BSI-geprüfter Evaluator und damit berechtigt, Evaluierungen für Zertifizierungen im Rahmen der Common Criteria Compliance durchzuführen. Herr Glemser ist Autor mehrerer Fachartikel in der Zeitschrift c’t und der Fachmagazine iX, hakin9, IT-Fokus und IT-Security und ist Referent bei Seminaren und Kongressen (z. B. OWASP AppSec Germany, IT-Security, it-sa). Er hat diverse Security Advisories für selbst gefundene Schwachstellen, z. B. in Webanwendungen und VoIP-Endgeräten veröffentlicht. Herr Glemser ist Mitglied des German Chapter Boards des Open Web Application Security Project (OWASP), Initiator und hauptverantwortlich für die Erstellung des OWASP-Whitepapers “Projektierung der Sicherheitsprüfung von Webanwendungen”, Mitübersetzer der OWASP Top 10 2010, sowie Initiator der Networkingveranstaltung OWASP Stammtisch Stuttgart. Seit vielen Jahren ist Herr Glemser sowohl im Rahmen technischer Audits als auch in BSI-Grundschutzprojekten im Behördenumfeld auf Stadt-, Landes- und Bundesebene tätig.

Termin und Ort
Ort:
InterCityHotel Berlin Hauptbahnhof
Katharina-Paulus-Straße 5
10557 Berlin
Hinweise zur Anfahrt finden Sie unter: http://www.berlin-hauptbahnhof.intercityhotel.com


Zeitraum:
26.09.2017 09:30 Uhr - 26.09.2017 17:00 Uhr

Preis
490,- Euro zzgl. MwSt.
Zur Anmeldung


Partner:


Veranstaltungen nach Datum


Januar 2018 (8)

Februar 2018 (6)

März 2018 (13)

April 2018 (9)

Mai 2018 (6)

Juni 2018 (8)

September 2018 (22)

Oktober 2018 (4)

November 2018 (9)


Veranstaltungen nach Thema


Datenschutz
Digital Compliance
Informationssicherheit
Organisation & Best Practice
Rechtliche Anforderungen & Regulierung
Technische Mittel & Methoden
Zertifizierung