CBT Informationssicherheit

Seminar Secure Coding - Webapplikationssicherheit

Secure Coding Workshop als Einführung- oder Aufbaukurs erhältlich.

Der Kurs vermittelt die typischen und gefährlichsten Sicherheitsschwachstellen in modernen Webapplikationen, unter anderem die laut der OWASP- Organisation die gefährlichsten und am häufigsten zu findenden Sicherheitsschwachstellen.

Dieses Seminar ist nur als FIRMENSCHULUNG Inhouse oder in externen Räumen buchbar.

Kundenfeedback Inhouse-Schulung:
Der Referent hat sowohl persönlich, als auch fachlich, auf voller Linie überzeugt. Das, mir zugetragene, Feedback spiegelt diesen sehr guten Eindruck ebenfalls wieder. Gerne können Sie dies von meiner Seite als Feedback so weiterreichen. Sollten wir die Schulung, was wir aktuell planen, erneut ausrichten, würden wir gerne wieder den Referenten bei uns begrüßen. Die Schulung insgesamt, auch auf die Inhalte bezogen, kam bei den Teilnehmern ebenfalls sehr gut an. Ich bedanke mich für die hervorragende Zusammenarbeit mit dem Referenten und natürlich mit Ihnen und Ihren Kollegen/-innen.


Rufen Sie uns für ein Angebot bitte an oder verwenden Sie den Anfrage-Button.

Seminardauer

3 Tage

Preis

0,00 €
0,00 € inkl. 19% ges. MwSt.
Ziel ist es die Entwickler über die häufigsten und gefährlichsten Programmierfehler bei der Entwicklung von Webanwendungen zu unterrichten und Testern die notwendigen Kenntnisse zur Prüfung sicherheitsrelevanter Anwendungen zur Verfügung zu stellen.

Über die reine Vermittlung von Wissen hinaus, steht das Schärfen des Sicherheitsbewusstseins der Entwickler im Mittelpunkt.

Die theoretischen Konzepte des Kurses werden durch viele Live-Demos praktisch veranschaulicht. Dies gewährt Einblicke in die Arbeitsweise eines typischen Hackers, zeigt wie einfach sich gewisse Angriffe dank ausgereifter Hackingtools realisieren lassen und zeigt die oft unterschätzten tatsächlichen Auswirkungen von Sicherheitslücken.

Ziel ist es die Entwickler von der Notwendigkeit eines sicheren Programmierstils zu überzeugen und ein Bewusstsein zu schaffen, das die Softwaresicherheit unabhängig von gerade aktuellen und im Kurs erläuterten Angriffsmethoden erhöht.
Einführungskurs:
Keine besonderen Fachkenntnisse erforderlich.

Aufbaukurs:
Einführungskursinhalte sollten überwiegend vorhanden sein.
Der Kurs richtet sich an Entwickler und Tester von Webapplikationen.
Kurssprache deutsche oder englisch nach Wahl
Manuskript englisch

Hinweis:
Der Kurs wird am PC geführt, damit sich jeder Teilnehmer aktiv mit dem Kursinhalt auseinanderzusetzen kann. Theoretisch beschriebene Themen werden so von den Kursteilnehmern selbst in der Praxis ausprobiert.

Gerne liefern wir auch Laptops für die Kursteilnehmer. Fordern Sie hierzu ein Angebot an.

Die Kursteilnehmer probieren die behandelten Hacker-Angriffe und Gegenmaßnahmen selbst praktisch am PC aus. In einer Übungsumgebung kann so das Erlernte praktisch umgesetzt werden, besprochene Angriffe selbst ausprobiert werden und Schutzmechanismen selbst entwickelt werden. Kursteilnehmer lernen die typische Arbeitsweise eines Hackers sowie verfügbare Hacking-Tools kennen, um später sichere Webapplikationen entwickeln zu können.

Der Kursinhalt ist dabei unabhängig von einer bestimmten Programmiersprache, da sich die Angriffsszenarien für alle modernen Webapplikationen (Java, .NET, PHP, Python, Perl, etc.) ähneln. Sicherheitsschwachstellen, die nur in systemnahen Code (C/C++) zu finden sind, wie zum Beispiel Buffer Overflows, Integer Overflows, Format String Vulnerabilities werden in diesem Kurs nicht behandelt. Codebeispiele im Kurs sind in PHP, JAVA oder Pseudocode gehalten.

Aus dem Inhalt EINFÜHRUNGSKURS:
  • Information Disclosure
  • Cross-Site-Scripting
  • SQL-Injections
  • OS Command Injections
  • Session Hijacking
  • Session Authentication
  • Cross-Site Request Forgery
  • Unzureichende Sicherheitskonfiguration
  • Unsichere Speicherung sensibler Informationen
  • Unzureichende Rechteüberprüfung auf URLs
  • Unzureichender Schutz auf der Transportschicht
  • Open Redirects
  • Sicherer Fileupload
  • SSL-Angriffe, Gegenmaßnahmen
  • Passwörter sicher speichern
  • Ajax Security
  • Advanced Cross-Site Scripting/Malicious Javascript
  • Command & Control mit Javascript
  • CSS History Hack
  • Data URI
  • Sicherheitskonzepte/Sichere Architektur


Aus dem Inhalt AUFBAUKURS:
  • Auf Wunsch kurze Wiederholung der wichtigsten Inhalte des Standard-Kurses
  • Websockets
  • Web Storage
  • Subresource Integrity
  • Angewandte Kryptographie
  • OAuth und OpenID Connect
  • JSON Web Tokens (JWT)
  • Integer Overflow
  • Let's Encrypt: Genaue Funktionsweise und Konfigurationsbeispiele
  • Cross-Origin Resource Sharing (CORS)
  • Content Security Policy (CSP)
  • CSRF und Security-Header
    • Wann genau sind welche Maßnahmen relevant?
    • Wie sieht die Ergebnisqualität von Tools hier aus?
  • Inhalte zum Thema sicherer Softwareentwicklungsprozess (SSDLC)
    • Wie kann ich Sicherheit früh in den Softwareentwicklungsprozess bringen?
    • Begriffe genau verstehen
    • Sicherheit in der Anforderungsanalyse
      • Wie komme ich von Compliance-Anforderungen zu technischen Anforderungen?
    • Sicherheit in der Designphase
      • Sichere Designprinzipien
      • Technische Bedrohungsanalyse (Threat Modelling)
    • Testing s.u.
  • Sicherheitstests selbst durchführen
    • Die Teilnehmer erhalten eine pragmatische und gut verständliche Anleitung zum Testen eigener Webapplikationen, Webservices oder mobiler Apps (mit der einiges intern abgedeckt werden kann)
    • Hands-On-Sicherheitstests von eigenen Applikationen (wenn möglich, sonst in einer Testumgebung, die der Trainer mitbringt)
    • Es werden auf Wunsch nur passive Tests durchgeführt, die keine Gefahr für den Betrieb der Applikation darstellen.
    • In Test- oder Entwicklungsumgebungen werden, falls möglich und erwünscht, auch aktive Tests durchgeführt.
    • Vorstellung verschiedener Tools
    • Tools zum gänzlich automatisierten Test von Webapplikationen
    • Tools für die Unterstützung des manuellen Testprozesses
    • Tools für manuelle Sicherheitstests
Veranstalter: CBT Training & Consulting GmbH
Manuela Krämer
Manuela Krämer Vertriebsleitung Informationssicherheit Telefon: +49 (0)89-4576918-12
Mail: m.kraemer@cbt-training.de
Termin anfragen
Fragen Sie Ihren Wunschtermin an.
Inhouse-Seminar
Das Seminar wird individuell auf Ihre Bedürfnisse abgestimmt und in Ihren Räumlickeiten durchgeführt.
Sie bestimmen die Inhalte, den Zeitpunkt und Dauer des Seminars.
Firmen-Seminar
Das Seminar findet ausschließlich mit Teilnehmern Ihrer Firma in unseren Räumlichkeiten statt und wird individuell auf Sie abgestimmt.
Sie bestimmen die Inhalte, den Zeitpunkt und Dauer des Seminars.
Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen Ok