Loading Map....

Date/Time
Date(s) - 29/08/2022 - 30/08/2022
09:00 - 17:00

Location
Zühlke Engineering AG

Categories


Security lernt man am besten in dem man selber hackt! Dieser Kurs vermittelt wie aktuelle Schwachstellen von Webapplikation funktionieren und wie man diese ausnutzt. Mit diesem Wissen werden dann effektive Gegenmassnahmen besprochen und angewendet.

 

Kursdauer

2 Tage

Kursvoraussetzungen

Ein solides Grundwissen über HTML5, JavaScript und HTTP ist Voraussetzung für diesen Workshop.

Kursübersicht

Dieser Kurs vermittelt den Teilnehmenden die typischen Schwachstellen in modernen Web-Applikationen sowie die Kniffe und Tricks sicherer Web-Programmierung. Die häufigsten Sicherheitsprobleme werden im Detail erklärt und mit Live-Sessions demonstriert. Die OWASP Top 10 sind dabei ein wichtiger Bestandteil.

Das neu Gelernte wird direkt an einer unsicheren Webanwendung angewendet (OWASP Juice Shop). Hierzu verwenden wir aktuelle Security-Tools wie der OWASP ZAP Attack Proxy oder SQLMap. Sie lernen zudem, wie Gegenmassnahmen implementiert werden.

Kursagenda

Tag 1

Der erste Teil des Kurses konzentriert sich auf die Aspekte serverseitiger Sicherheit. Dabei wird zwischen Theorie, Demonstrationen und praktischen Übungen gewechselt. Die Teilnehmenden können dabei selbst eine Applikation in einem geschützten Umfeld angreifen und vorhandene Schwachstellen ausfindig machen. Es werden gängige Tools vorgestellt und der Umgang damit geschult.

•    Setup Hacking-Lab (OWASP ZAP)
•    Risks and Threats
•    Broken Access Control
•    SQL Injection
•    XML External Entities
•    Authentication, Federated Logins
•    JWT Vulnerabilities
•    Misconfiguration & Known Vulnerabilities

Tag 2

Im zweiten Teil liegt der Fokus auf dem Client (Desktop-Browser, Mobile-Browser). Auch am zweiten Tag werden die Schwachstellen am OWASP Juice Shop geübt.

•    XSS (Reflected-, Stored-, Dom-XSS, Mutation-XSS)
•    Same Origin Policy
•    CSRF Attacks
•    CORS & Cookie Security
•    Secure Development (Security Testing Pyramid, Threat Modeling)
•    DevSecOps (Static Analysis, Dependency Checks, Vulnerability Scanner)

Neu werden auch die Themen Secure Development und DevSecOps im Kurs behandelt. Die Teilnehmer erhalten praxisnahe Tipps, wie die Sicherheit im eigenen Softwareprojekt verbessert werden kann.

Kursziele

Die Teilnehmenden kennen die aktuellen Schwachstellen moderner Web-Applikationen (inklusive OWASP Top 10) und können diese erkennen und ausnutzen. Zudem wissen sie, welche Schutzmassnahmen existieren und wie diese implementiert werden.

Sie kennen die notwendigen Tools, um eine Web-Applikation zu analysieren und abzusichern, und können sich in die Rolle eines Hackers versetzen.

Zielgruppe

Der Workshop richtet sich an Software-Entwickler und -Architekten, die sich mit Web-Technologien auseinandersetzten und ist bewusst technologie-unabhängig. Er eignet sich damit für jeden Web-Entwickler.

Share