IT-Sicherheit für Webentwickler

it_sicherheit_teaserbild

UPDATE: Auf Grund der aktuellen Situation bzgl. der Verbreitung des SARS-CoV-2-Virus findet das Seminar als Online-Training statt.

 

Dieses Seminar richtet sich an Webentwickler, die die Grundlagen von Websicherheit lernen möchten. Ziel ist es, ein grundlegendes Verständnis für häufige Web-Sicherheitslücken zu erlangen und auch zu verstehen, warum diese ein Problem sind.

Zwar dürften nahezu alle Webentwickler schon von Problemen wie Cross-Site-Scripting oder Cross-Site-Request-Forgery gehört haben, aber vielen ist dabei nicht klar, warum diese Fehler zu Sicherheitslücken führen und wie diese praktisch ausgenutzt werden können.

Um ein besseres Verständnis für die Risiken zu gewinnen, werden wir anhand von bekannten Lücken in realen Webapplikationen verschiedene Angriffe praktisch durchführen.

Die Schulung richtet sich dabei primär an Personen, die zwar mit Webentwicklung Erfahrung haben, die aber bisher noch keine tiefer gehenden Kenntnisse in Sachen IT-Sicherheit haben.

Vorausgesetzt werden grundlegende, aber keine fortgeschrittenen Kenntnisse in Javascript. Zudem sollten Teilnehmer den grundlegenden Umgang mit einer Linux-Kommandozeile beherrschen.

Die Schulung findet per Videokonferenz über Jitsi Meet statt, Teilnehmer benötigen lediglich den aktuellen Chrome Browser.

 

Tag 1:

  • Praktische Ausnutzung von klassischen Web-Sicherheitslücken an Beispielen
  • Webanwendung übernehmen mit Cross-Site-Scripting (XSS)
  • Cross-Site-Request-Forgery-Angriff bei fehlenden Sicherheitstokens
  • Daten exfiltrieren und manipulieren mit SQL-Injections

Tag 2:

  • Subdomain Takeover und Ausnutzung bei populären Cloud-Anbietern mit Nameserver-Delegation und CNAME
  • Datei-Leaks (Backup-Dateien, Git-Verzeichnisse etc.)
  • HTTPS, HSTS und Stripping-Angriffe
  • Überblick über HTTP-Security-Header
  • Passwort-Handling, moderne Passwort-Policies, Password-Stuffing und Gegenmaßnahmen

KPI:

Die Teilnehmer haben am Ende des Seminars ein grundlegendes Verständnis für gängige Web-Sicherheitslücken. Sie haben Sicherheitslücken anhand von realen Beispielen ausgenutzt und können einschätzen, welches Risiko diese darstellen und wie diese vermieden werden können.

Eckdaten:

Zielgruppe: Webentwickler | Dauer: 2 Tage | Trainer: Hanno Böck | Ort: Berlin | Teilnehmerzahl: mind. 6 – max. 12

20./21.04.2020

Uhrzeit:

9-17 Uhr

Preis:

900 € zzgl. MwSt.

Ihr Ansprechpartner für Fragen:

ansprechpartner-steffi-metzler

Steffi Metzler
E-Mail: sme@golem.de
Tel. 030/6290111-77

Hanno Böck
trainer-foto

Hanno Böck ist Redakteur bei Golem.de und schreibt auch regelmäßig für andere Publikationen über IT-Sicherheit. Er ist Autor des monatlichen Newsletters Bulletproof TLS. In der Vergangenheit hat er mehrfach Sicherheitslücken in TLS-Implementierungen aufgedeckt, etwa den ROBOT-Angriff und Schwächen bei der Implementierung des GCM-Algorithmus. Er hat zum Thema TLS bereits Vorträge bei wichtigen Konferenzen wie der Black Hat, der Def Con und dem Chaos Communication Congress gehalten.

IT-Sicherheit für Webentwickler

it_sicherheit_teaserbild

UPDATE: Auf Grund der aktuellen Situation bzgl. der Verbreitung des SARS-CoV-2-Virus findet das Seminar als Online-Training statt.

 

Dieses Seminar richtet sich an Webentwickler, die die Grundlagen von Websicherheit lernen möchten. Ziel ist es, ein grundlegendes Verständnis für häufige Web-Sicherheitslücken zu erlangen und auch zu verstehen, warum diese ein Problem sind.

Zwar dürften nahezu alle Webentwickler schon von Problemen wie Cross-Site-Scripting oder Cross-Site-Request-Forgery gehört haben, aber vielen ist dabei nicht klar, warum diese Fehler zu Sicherheitslücken führen und wie diese praktisch ausgenutzt werden können.

Um ein besseres Verständnis für die Risiken zu gewinnen, werden wir anhand von bekannten Lücken in realen Webapplikationen verschiedene Angriffe praktisch durchführen.

Die Schulung richtet sich dabei primär an Personen, die zwar mit Webentwicklung Erfahrung haben, die aber bisher noch keine tiefer gehenden Kenntnisse in Sachen IT-Sicherheit haben.

Vorausgesetzt werden grundlegende, aber keine fortgeschrittenen Kenntnisse in Javascript. Zudem sollten Teilnehmer den grundlegenden Umgang mit einer Linux-Kommandozeile beherrschen.

Die Schulung findet per Videokonferenz über Jitsi Meet statt, Teilnehmer benötigen lediglich den aktuellen Chrome Browser.

 

Tag 1:

  • Praktische Ausnutzung von klassischen Web-Sicherheitslücken an Beispielen
  • Webanwendung übernehmen mit Cross-Site-Scripting (XSS)
  • Cross-Site-Request-Forgery-Angriff bei fehlenden Sicherheitstokens
  • Daten exfiltrieren und manipulieren mit SQL-Injections

Tag 2:

  • Subdomain Takeover und Ausnutzung bei populären Cloud-Anbietern mit Nameserver-Delegation und CNAME
  • Datei-Leaks (Backup-Dateien, Git-Verzeichnisse etc.)
  • HTTPS, HSTS und Stripping-Angriffe
  • Überblick über HTTP-Security-Header
  • Passwort-Handling, moderne Passwort-Policies, Password-Stuffing und Gegenmaßnahmen

KPI:

Die Teilnehmer haben am Ende des Seminars ein grundlegendes Verständnis für gängige Web-Sicherheitslücken. Sie haben Sicherheitslücken anhand von realen Beispielen ausgenutzt und können einschätzen, welches Risiko diese darstellen und wie diese vermieden werden können.

Eckdaten:

Zielgruppe: Webentwickler | Dauer: 2 Tage | Trainer: Hanno Böck | Ort: Berlin | Teilnehmerzahl: mind. 6 – max. 12

20./21.04.2020

Uhrzeit:

Preis:

900 € zzgl. MwSt.

Aktuelle News und Top-Themen
aus der IT-Branche

Aktuelle News und Top-Themen
aus der IT-Branche

Unsere Schulungspartner

koop-logo-peter-knapp
koop-logo-syseleven

Unsere Schulungspartner

koop-logo-peter-knapp
koop-logo-syseleven
partner-logo-dbp