Webanwendungssicherheit-Workshop
Gegenstand des Seminars

Webapplikationen bzw. Websites allgemein stellen einen der wichtigsten Angriffsvektoren auf IT-Infrastrukturen dar. Das hängt zum einen mit den zum Teil sehr fehleranfälligen Technologien zusammen (PHP, usw.). Hinzu kommt, dass viele Webapplikationen quasi Individualanfertigungen mit – im Gegensatz zu Standardsoftware – begrenzten Möglichkeiten zur Qualitätssicherung sind.

Um trotzdem Webanwendungen sicher betreiben oder auch selbst erstellen zu können, sind entsprechende Kenntnisse über Webtechnologien und vor allen Dingen die potentiellen Angriffsvektoren und Schutzmaßnahmen erforderlich.

Zielsetzung

Nach einem kurzen Überblick zu Webtechnologien erfahren die Teilnehmer anhand praktischer Beispiele und Demonstrationen, welchen Angriffsmöglichkeiten und Risiken Webapplikationen ausgesetzt sind.
Mittels entsprechender Tools führen die Teilnehmer selbst an bereitgestellten PC-Arbeitsplätzen Penetrationstests durch, erlernen auf praktische Weise das Erkennen von Lücken sowie Angriffsvektoren und kennen nach dem Workshop die technischen Möglichkeiten zur Absicherung von Webanwendungen.

Zielgruppe

IT-Administratoren, Entwicklungs-Teamleiter, Webentwickler, Ermittler in Strafverfolgungsbehörden, IT-Dienstleister, CERT-Personal, IT-Sicherheitsbeauftragte.
Grundkenntnisse im Bereich HTTP bzw. Webtechnologien werden vorausgesetzt.

Seminarablauf

WORKSHOP-ABLAUF

Themenüberblick, 1. Tag, 13:00-18:00 Uhr:

Grundlagen der Webtechniken

  • Webserver: Apache, Tomcat & Co.
  • HTML, CSS
  • Skriptsprachen: PHP, Perl, Python, Ruby
  • Java-Servlets und JSP
  • Datenbanken
  • Ajax, Javascript, HTML5

Schwachstellen von Webanwendungen – Teil 1

  • Information Disclosure
  • Path-Traversal
  • Authorization
  • Header Manipulation / Header Poisoning
  • SSL-Stripping
  • Website-Spoofing, SSL-Website-Spoofing

Themenüberblick, 2. Tag, 08:30-17:00 Uhr:

Schwachstellen von Webanwendungen – Teil 2

  • File-Upload
  • Buffer-Overflows
  • Cross-Site Scripting (XSS), reflectes, persistant, DOM-based XSS
  • Session-Hijacking, Session-Fixation
  • Cross-Site Request Forgery (CSRF) / Session Riding
  • Clickjacking / Der X-FRAME-OPTION Response-Header
  • Frame-Spoofing, Link-Spoofing
  • SQL-Injection, Advanced SQLI, Blind SQL-Injection
  • Command-Injection, XML-Injection, XPATH-Injection, LDAP-Injection
  • Privilege Escalation
  • Insecure Direct Object Reference
  • 2nd Order Code-Injection

Themenüberblick, 3. Tag, 08:30-15:00 Uhr:

Gegenmaßnahmen

  • Webserversicherheit
  • Verschlüsselung
  • Sicheres Programmieren
  • Sichere Datenbankanwendung

Tools

  • Vorstellung von Tools, wie z. B. nikto, skipfish, burp, dirbuster, sqlmap, CSRFGuard

Auffinden von Schwachstellen

  • Manueller Code-Review/Code-Check
  • Toolgestützte Untersuchung des Quellcodes
  • Pentests gegen Webapplikationen
Referenten
Jan-Niklas  Nowak
Termin und Ort
Ort:
Tagungshotel (wird noch bekannt gegeben)
Berlin


Zeitraum:
12.11.2019 13:00 Uhr - 14.11.2019 15:00 Uhr

Preis

1.420,- Euro zzgl. MwSt.

Der Preis beinhaltet Seminarunterlagen, Bereitstellung der PC-Arbeitsplätze, Tagungsgetränke und Mittagessen.

Zur Anmeldung


Partner:



Veranstaltungen nach Datum


Januar 2019 (7)

Februar 2019 (8)

März 2019 (20)

April 2019 (9)

Mai 2019 (15)

Juni 2019 (12)

September 2019 (22)

Oktober 2019 (4)

November 2019 (20)


Veranstaltungen nach Thema


Datenschutz
Digital Compliance
Informationssicherheit
Organisation & Best Practice
Rechtliche Anforderungen & Regulierung
Technische Mittel & Methoden
Zertifizierung