Date/Time
Date(s) - 29/08/2022 - 30/08/2022
09:00 - 17:00
Location
Zühlke Engineering AG
Security lernt man am besten in dem man selber hackt! Dieser Kurs vermittelt wie aktuelle Schwachstellen von Webapplikation funktionieren und wie man diese ausnutzt. Mit diesem Wissen werden dann effektive Gegenmassnahmen besprochen und angewendet.
Kursdauer
2 Tage
Kursvoraussetzungen
Ein solides Grundwissen über HTML5, JavaScript und HTTP ist Voraussetzung für diesen Workshop.
Kursübersicht
Dieser Kurs vermittelt den Teilnehmenden die typischen Schwachstellen in modernen Web-Applikationen sowie die Kniffe und Tricks sicherer Web-Programmierung. Die häufigsten Sicherheitsprobleme werden im Detail erklärt und mit Live-Sessions demonstriert. Die OWASP Top 10 sind dabei ein wichtiger Bestandteil.
Das neu Gelernte wird direkt an einer unsicheren Webanwendung angewendet (OWASP Juice Shop). Hierzu verwenden wir aktuelle Security-Tools wie der OWASP ZAP Attack Proxy oder SQLMap. Sie lernen zudem, wie Gegenmassnahmen implementiert werden.
Kursagenda
Tag 1
Der erste Teil des Kurses konzentriert sich auf die Aspekte serverseitiger Sicherheit. Dabei wird zwischen Theorie, Demonstrationen und praktischen Übungen gewechselt. Die Teilnehmenden können dabei selbst eine Applikation in einem geschützten Umfeld angreifen und vorhandene Schwachstellen ausfindig machen. Es werden gängige Tools vorgestellt und der Umgang damit geschult.
• Setup Hacking-Lab (OWASP ZAP)
• Risks and Threats
• Broken Access Control
• SQL Injection
• XML External Entities
• Authentication, Federated Logins
• JWT Vulnerabilities
• Misconfiguration & Known Vulnerabilities
Tag 2
Im zweiten Teil liegt der Fokus auf dem Client (Desktop-Browser, Mobile-Browser). Auch am zweiten Tag werden die Schwachstellen am OWASP Juice Shop geübt.
• XSS (Reflected-, Stored-, Dom-XSS, Mutation-XSS)
• Same Origin Policy
• CSRF Attacks
• CORS & Cookie Security
• Secure Development (Security Testing Pyramid, Threat Modeling)
• DevSecOps (Static Analysis, Dependency Checks, Vulnerability Scanner)
Neu werden auch die Themen Secure Development und DevSecOps im Kurs behandelt. Die Teilnehmer erhalten praxisnahe Tipps, wie die Sicherheit im eigenen Softwareprojekt verbessert werden kann.
Kursziele
Die Teilnehmenden kennen die aktuellen Schwachstellen moderner Web-Applikationen (inklusive OWASP Top 10) und können diese erkennen und ausnutzen. Zudem wissen sie, welche Schutzmassnahmen existieren und wie diese implementiert werden.
Sie kennen die notwendigen Tools, um eine Web-Applikation zu analysieren und abzusichern, und können sich in die Rolle eines Hackers versetzen.
Zielgruppe
Der Workshop richtet sich an Software-Entwickler und -Architekten, die sich mit Web-Technologien auseinandersetzten und ist bewusst technologie-unabhängig. Er eignet sich damit für jeden Web-Entwickler.
