Webanwendungssicherheit-Workshop
Gegenstand des Seminars

Webapplikationen bzw. Websites allgemein stellen einen der wichtigsten Angriffsvektoren auf IT-Infrastrukturen dar. Das hängt zum einen mit den zum Teil sehr fehleranfälligen Technologien zusammen (PHP, usw.). Hinzu kommt, dass viele Webapplikationen quasi Individualanfertigungen mit – im Gegensatz zu Standardsoftware – begrenzten Möglichkeiten zur Qualitätssicherung sind.

Um trotzdem Webanwendungen sicher betreiben oder auch selbst erstellen zu können, sind entsprechende Kenntnisse über Webtechnologien und vor allen Dingen die potentiellen Angriffsvektoren und Schutzmaßnahmen erforderlich.

Zielsetzung

Nach einem kurzen Überblick zu Webtechnologien erfahren die Teilnehmer anhand praktischer Beispiele und Demonstrationen, welchen Angriffsmöglichkeiten und Risiken Webapplikationen ausgesetzt sind.
Mittels entsprechender Tools führen die Teilnehmer selbst an bereitgestellten PC-Arbeitsplätzen Penetrationstests durch, erlernen auf praktische Weise das Erkennen von Lücken sowie Angriffsvektoren und kennen nach dem Workshop die technischen Möglichkeiten zur Absicherung von Webanwendungen.

Zielgruppe

IT-Administratoren, Entwicklungs-Teamleiter, Webentwickler, Ermittler in Strafverfolgungsbehörden, IT-Dienstleister, CERT-Personal, IT-Sicherheitsbeauftragte.
Grundkenntnisse im Bereich HTTP bzw. Webtechnologien werden vorausgesetzt.

Seminarablauf

WORKSHOP-ABLAUF

Themenüberblick, 1. Tag, 13:00-18:00 Uhr:

Grundlagen der Webtechniken

  • Webserver: Apache, Tomcat & Co.
  • HTML, CSS
  • Skriptsprachen: PHP, Perl, Python, Ruby
  • Java-Servlets und JSP
  • Datenbanken
  • Ajax, Javascript, HTML5

Schwachstellen von Webanwendungen – Teil 1

  • Information Disclosure
  • Path-Traversal
  • Authorization
  • Header Manipulation / Header Poisoning
  • SSL-Stripping
  • Website-Spoofing, SSL-Website-Spoofing

Themenüberblick, 2. Tag, 08:30-17:00 Uhr:

Schwachstellen von Webanwendungen – Teil 2

  • File-Upload
  • Buffer-Overflows
  • Cross-Site Scripting (XSS), reflectes, persistant, DOM-based XSS
  • Session-Hijacking, Session-Fixation
  • Cross-Site Request Forgery (CSRF) / Session Riding
  • Clickjacking / Der X-FRAME-OPTION Response-Header
  • Frame-Spoofing, Link-Spoofing
  • SQL-Injection, Advanced SQLI, Blind SQL-Injection
  • Command-Injection, XML-Injection, XPATH-Injection, LDAP-Injection
  • Privilege Escalation
  • Insecure Direct Object Reference
  • 2nd Order Code-Injection

Themenüberblick, 3. Tag, 08:30-15:00 Uhr:

Gegenmaßnahmen

  • Webserversicherheit
  • Verschlüsselung
  • Sicheres Programmieren
  • Sichere Datenbankanwendung

Tools

  • Vorstellung von Tools, wie z. B. nikto, skipfish, burp, dirbuster, sqlmap, CSRFGuard

Auffinden von Schwachstellen

  • Manueller Code-Review/Code-Check
  • Toolgestützte Untersuchung des Quellcodes
  • Pentests gegen Webapplikationen
Referenten
Jan-Niklas  Nowak
Termin und Ort
Ort:
Tagungshotel (wird noch bekannt gegeben)
Berlin


Zeitraum:
12.11.2019 13:00 Uhr - 14.11.2019 15:00 Uhr

Preis

1.420,- Euro zzgl. MwSt.

Der Preis beinhaltet Seminarunterlagen, Bereitstellung der PC-Arbeitsplätze, Tagungsgetränke und Mittagessen.

Zur Anmeldung


Partner:



Veranstaltungen nach Datum


September 2019 (20)

Oktober 2019 (5)

November 2019 (26)

Dezember 2019 (7)

Januar 2020 (5)

Februar 2020 (2)

März 2020 (20)

April 2020 (2)

Mai 2020 (10)

Juni 2020 (8)


Veranstaltungen nach Thema


Datenschutz & Compliance
Informationssicherheit
Organisation & Best Practice
Rechtliche Anforderungen & Regulierung
Technische Mittel & Methoden
Zertifizierung