Seminar IT-Sicherheit in der Entwicklung von Webapplikationen

Verantwortlich: 
Claudia Bauer
Art des Abschlusses: 
Zertifikat
Dauer: 
4 Tage
Studienformat: 
berufsbegleitendes Studium
Sprache: 
Deutsch
Studienangebot: 
Akademische Weiterbildungsangebote ohne formalen Abschluss
Kosten: 
ab 1150 €
Beginn: 
Auf Anfrage
Allgemeine Zugangsvoraussetzungen: 
Keine Zugangsvoraussetzungen
Studienort: 
Nürnberg
Lehrkraft: 
Jens Liebau, Wladimir Paulsen
ECTS-Punkte: 
0

Webapplikationen sind naturgemäß mit hohen Risiken behaftet und oft Ziel von Hacker-Angriffen. Diese reichen vom Diebstahl von Benutzerdaten bis zum direkten Zugriff auf dahinter liegende Web-Shops, Kundenportale oder per Web-App zugängliche Steuerungs-Software.

Die beste Möglichkeit, solche Angriffe zu verhindern, ist die von Grund auf sichere Entwicklung der Web-Applikationen. In unserem Seminar lernen Sie die häufigsten Angriffsarten kennen und lernen, wie Sie diese durch entsprechende Entwicklungsmethoden vermeiden können.

Fächergruppe: 
Informatik
Sonstiges
Gliederung: 

Im Lauf der Schulung werden alle Themengebiete besprochen, die bei den in der OWASP-Top10 aufgelisteten Problemklassen vorkommen: Dabei werden sowohl die zugrunde liegenden technischen Ursachen erläutert, als auch diese in praktischen Übungen nachvollzogen. Anschließend werden unterschiedliche Lösungsmöglichkeiten vorgestellt und diskutiert, wie die jeweiligen Probleme technisch (oder organisatorisch) abgesichert werden können.

Das Seminar lebt von dem starken Workshop-Charakter. Der Fokus liegt auf dem eigenen Doing der Teilnehmer*innen. Inhaltlich ist der Workshop in vier Blöcke á drei Stunden gegliedert:

Block / Tag 1:

Zum Seminarstart erfolgt eine Einführung in die häufigsten Schwachstellen in den Web-Applikationen und die Methoden zum Testen der Sicherheit der Web-Applikationen. Darauf aufbauend werden die einfachen Angriffe auf die Client-Seite gezeigt.

  • Einführung
  • OWASP Top10 als häufigste Schwachstellen in Web-Applikationen
  • Einsatz von Web-Proxy zum Abfangen und Modifizierung der HTTP-Anfragen (BurpSuite)
  • Cross-Site-Scripting (XSS) Angriffe und die Schutzmaßnahmen:
    - Filterung der Eingaben
    - Encodierung der Ausgabe
    - Content-Security-Policy
  • Cross-Site-Request-Forgery (CSRF) Angriffe und Schutzmaßnahmen:
    - Cookie-Flags
    - CSRF-Token

Block / Tag 2:

Im zweiten Block werden die Inhalte des ersten Blocks weiter ausgearbeitet und neue Themen eingeführt, die die häufigsten und die kritischen Angriffe auf die Backend-Systeme darstellen:

  • Fortgeschrittene Angriffsmethoden für XSS und Beef-Framework
  • SQL Injections:
    - Angriffsmethoden
    - Schutzmaßnahmen (prepared statements) und SQL-Firewalls
    - sqlmap als Angriffswerkzeug
  • Mögliche Fehlerquellen beim File Upload und Remote Code Execution als Folge
    - Remote-Shells
    - Auswirkungen auf die Mandatentrennung auf Shared-Servern
  • Automatische Überwachung von Serversystemen auf von Angreifern eingebrachten Dateien
  • Sicherheitsprobleme durch unzureichende Absicherung von Cookies
  • Sicherheitsprobleme durch Inhalte von Cookies
  • Sicherheitsbewusste Konfiguration von Webservern und sicherheitsrelevante Header zum Schutz der Webserver
  • Logikfehler bei der Authentifizierung von Benutzern
  • Device-Cookie als Schutzmaßnahme gegen Brute-Angriffe auf Loginfunktionen

Details zu Block / Tag 3 & Block / Tag 4 können Sie auf der OHM Professional School-Webseite nachlesen.

 

 

Inhalt: 
  • Kenntnisse zu den häufigsten Angriffsarten
  • Fähigkeiten zum Einsatz sicherer Entwicklungsmethoden
Zielgruppe: 
  • Fachinformatiker*innen und Praktiker*innen aus dem Feld der Informationstechnik
  • Softwareentwickler*innen
  • Software-Projektleitung

 

Sonstiges: 
Das Seminar kann auch als individuell angepasste Inhouse-Schulung angeboten werden. Sprechen Sie uns an!