Ethische Applikations-Hacking anhand von praktischen Beispielen – Fokus Applikations-Schwachstellen
Gegenstand des Seminars

Das Training läuft unter der Prämisse “Nur wer wie ein Hacker denkt, kann seine Applikation wirklich absichern“. Es ist daher Ziel der Veranstaltung das Thema „Sichere Applikationsentwicklung“ von dem Hintergrund offensiver typischer Angriffstechniken zu betrachten. Im Rahmen der Schulung erlernen die Teilnehmer selbstständig Applikationen auf Schwachstellen hin zu untersuchen und ggf. auszunutzen. Mit dem so erlangten Wissen ist es aus der Erfahrung heraus um ein vielfaches einfacher Anwendungen direkt sicherer zu programmieren.

Anforderungen:

Für eine erfolgreiche Teilnahme ist von jedem Teilnehmer ein Laptop mit folgendem Setup mitzubringen:

  • Beliebiges Betriebssystem
  • Firefox Browser installiert
  • WLAN- und Ethernet-Netzwerkschnittstelle
  • Java 8 installiert
  • Burp Proxy (Free) installiert (https://portswigger.net/burp/freedownload)
  • Lokale Administratorrechte
Zielsetzung

Ziel ist es, dass die Teilnehmer verschiedenste moderne Angriffe auf Applikationen unter Anleitung verstehen, selber ausprobieren und Lösungsstrategien entwickeln:

  • Angreifer-Logik im Gesamtkontext „Applikationen“ verstehen.
  • Härtungsmaßnahmen im Kontext „Applikationen“ korrekt anwenden.

Am Ende der Schulung sind die Teilnehmer in der Lage, technische IT-Sicherheitsrisiken in Applikationen effektiv und effizient zu bewerten und zu reduzieren. Das erlernte Wissen kann im Kontext von verschiedensten Anwendungsfällen zielführend genutzt werden.

Zielgruppe
  • Entwickler
  • Software-Tester
  • IT-Security Manager / Entscheider

Es wird keine Hacking-Erfahrung vorausgesetzt. Entwicklungserfahrung sollte allerdings vorhanden sein. Die nötigen Grundlagen werden zu Beginn des jeweiligen Kapitels vermittelt.

Seminarablauf

Die zweitätige Schulung behandelt typische Applikations-Schwachstellenklassen und die zugehörigen Best-Practices anhand von diversen Live-Demos. Ca. 65 % des Trainings bestehen aus interaktiven Beispielen, die selbst durch die Teilnehmer gelöst werden müssen. Hierbei wird primär die Angreifer-Perspektive eingenommen.

Der Inhalt der Schulung gliedert sich wie folgt:

  • Awareness
  • Input Validation / Output Sanitization
  • BURP Proxy - Basic Security Testing Tool
  • Top Vulnerability Classes / Security Concepts
    • Cross-Site Scripting (XSS)
    • Same Origin Policy (SOP)
    • Cross-Site Request Forgery (CSRF)
    • SQL Injection
    • Remote Command Execution (RCE)
    • External Entity Injection (XXE)
    • File Uploads
    • Path Traversal
    • Authentication\Session Management
    • Management of Passwords
  • Outro / Summary
Referenten
Andreas  Falkenberg, arbeitet seit vielen Jahren als professioneller White-Hat Hacker. In vielen internationalen Projekten in Europa, Asien und den USA kann er auf ein breites Erfahrungsspektrum, beginnend mit der Überprüfung von einfachen Webseiten bis hin zu Audits für Core-Banking Applikationen, zurückgreifen. Andreas Falkenberg hat den Master in IT-Sicherheit/Informationstechnik an der Ruhr-Universität Bochum erfolgreich abgeschlossen. Neben diversen Talks auf Veranstaltungen gibt Herr Falkenberg regelmäßig Expertenschulungen im Bereich Cyber-Security; unter anderem ab dem Jahr 2017 auch für die Bundeswehr.
Termin und Ort
Ort:
Tagungshotel
Berlin


Zeitraum:
29.11.2017 09:30 Uhr - 30.11.2017 17:00 Uhr

Preis
990,- Euro zzgl. MwSt.
Zur Anmeldung


Partner:


Veranstaltungen nach Datum


September 2017 (25)

Oktober 2017 (7)

November 2017 (14)

Dezember 2017 (1)

Januar 2018 (2)

Mai 2018 (1)


Veranstaltungen nach Thema


Datenschutz
Digital Compliance
Informationssicherheit
Organisation & Best Practice
Rechtliche Anforderungen & Regulierung
Technische Mittel & Methoden
Zertifizierung