Webanwendungssicherheit-Workshop
Gegenstand des Seminars

Webapplikationen bzw. Websites allgemein stellen einen der wichtigsten Angriffsvektoren auf IT-Infrastrukturen dar. Das hängt zum einen mit den zum Teil sehr fehleranfälligen Technologien zusammen (PHP, usw.). Hinzu kommt, dass viele Webapplikationen quasi Individualanfertigungen mit – im Gegensatz zu Standardsoftware – begrenzten Möglichkeiten zur Qualitätssicherung sind.

Um trotzdem Webanwendungen sicher betreiben oder auch selbst erstellen zu können, sind entsprechende Kenntnisse über Webtechnologien und vor allen Dingen die potentiellen Angriffsvektoren und Schutzmaßnahmen erforderlich.

Zielsetzung

Nach einem kurzen Überblick zu Webtechnologien erfahren die Teilnehmer anhand praktischer Beispiele und Demonstrationen, welchen Angriffsmöglichkeiten und Risiken Webapplikationen ausgesetzt sind.
Mittels entsprechender Tools führen die Teilnehmer selbst an bereitgestellten PC-Arbeitsplätzen Penetrationstests durch, erlernen auf praktische Weise das Erkennen von Lücken sowie Angriffsvektoren und kennen nach dem Workshop die technischen Möglichkeiten zur Absicherung von Webanwendungen.

Zielgruppe

IT-Administratoren, Entwicklungs-Teamleiter, Webentwickler, Ermittler in Strafverfolgungsbehörden, IT-Dienstleister, CERT-Personal, IT-Sicherheitsbeauftragte.
Grundkenntnisse im Bereich HTTP bzw. Webtechnologien werden vorausgesetzt.

Seminarablauf

WORKSHOP-ABLAUF

Themenüberblick, 1. Tag, 13:00-18:00 Uhr:

Grundlagen der Webtechniken

  • Webserver: Apache, Tomcat & Co.
  • HTML, CSS
  • Skriptsprachen: PHP, Perl, Python, Ruby
  • Java-Servlets und JSP
  • Datenbanken
  • Ajax, Javascript, HTML5

Schwachstellen von Webanwendungen – Teil 1

  • Information Disclosure
  • Path-Traversal
  • Authorization
  • Header Manipulation / Header Poisoning
  • SSL-Stripping
  • Website-Spoofing, SSL-Website-Spoofing

Themenüberblick, 2. Tag, 08:30-17:00 Uhr:

Schwachstellen von Webanwendungen – Teil 2

  • File-Upload
  • Buffer-Overflows
  • Cross-Site Scripting (XSS), reflectes, persistant, DOM-based XSS
  • Session-Hijacking, Session-Fixation
  • Cross-Site Request Forgery (CSRF) / Session Riding
  • Clickjacking / Der X-FRAME-OPTION Response-Header
  • Frame-Spoofing, Link-Spoofing
  • SQL-Injection, Advanced SQLI, Blind SQL-Injection
  • Command-Injection, XML-Injection, XPATH-Injection, LDAP-Injection
  • Privilege Escalation
  • Insecure Direct Object Reference
  • 2nd Order Code-Injection

Themenüberblick, 3. Tag, 08:30-15:00 Uhr:

Gegenmaßnahmen

  • Webserversicherheit
  • Verschlüsselung
  • Sicheres Programmieren
  • Sichere Datenbankanwendung

Tools

  • Vorstellung von Tools, wie z. B. nikto, skipfish, burp, dirbuster, sqlmap, CSRFGuard

Auffinden von Schwachstellen

  • Manueller Code-Review/Code-Check
  • Toolgestützte Untersuchung des Quellcodes
  • Pentests gegen Webapplikationen
Referenten
René  Wölker, ist als IT Security Resulter der @-yet GmbH mit Schwerpunkt sichere Anwendungsendwicklung und Codeanalyse tätig. Er verfügt über mehrere Jahre Erfahrung in den Bereichen Anwendungsentwicklung, IT-Security Penetrationtesting und IT-Forensik. Unter anderem ist er OSCP zertifiziert .
Termin und Ort
Ort:
Tagungshotel
Hamburg


Zeitraum:
14.11.2017 13:00 Uhr - 16.11.2017 15:00 Uhr

Preis

1.420,- Euro zzgl. MwSt.

Der Preis beinhaltet Seminarunterlagen, Bereitstellung der PC-Arbeitsplätze, Tagungsgetränke und Mittagessen.

Zur Anmeldung


Partner:


Veranstaltungen nach Datum


Mai 2017 (1)

Juni 2017 (7)

Juli 2017 (1)

August 2017 (1)

September 2017 (25)

Oktober 2017 (6)

November 2017 (14)

Dezember 2017 (1)


Veranstaltungen nach Thema


Datenschutz
Digital Compliance
Informationssicherheit
Organisation & Best Practice
Rechtliche Anforderungen & Regulierung
Technische Mittel & Methoden
Zertifizierung