Academy Web Security Workshop D10145 Security lernt man am besten indem man selber hackt! Dieser Kurs vermittelt, wie aktuelle Schwachstellen von Webapplikation funktionieren und wie man diese ausnutzt. Mit diesem Wissen werden dann effektive Gegenmassnahmen besprochen und angewendet. Kursthemen auf einen Blick: Backend Security (Broken Access Control, SQL Injection, …) Frontend Security (XSS, CSRF, …) Secure Development und DevSecOps Kursdauer 2 Tage Kursvoraussetzungen Ein solides Grundwissen über HTML5, JavaScript und HTTP ist Voraussetzung für diesen Workshop. Kursübersicht Dieser Kurs vermittelt den Teilnehmenden die typischen Schwachstellen in modernen Web-Applikationen sowie die Kniffe und Tricks sicherer Web-Programmierung. Die häufigsten Sicherheitsprobleme werden im Detail erklärt und mit Live-Sessions demonstriert. Die OWASP Top 10 sind dabei ein wichtiger Bestandteil. Das neu Gelernte wird direkt an einer unsicheren Webanwendung angewendet (OWASP Juice Shop). Hierzu verwenden wir aktuelle Security-Tools wie der OWASP ZAP Attack Proxy oder SQLMap. Sie lernen zudem, wie Gegenmassnahmen implementiert werden. Kursagenda Tag 1 Der erste Teil des Kurses konzentriert sich auf die Aspekte serverseitiger Sicherheit. Dabei wird zwischen Theorie, Demonstrationen und praktischen Übungen gewechselt. Die Teilnehmenden können dabei selbst eine Applikation in einem geschützten Umfeld angreifen und vorhandene Schwachstellen ausfindig machen. Es werden gängige Tools vorgestellt und der Umgang damit geschult. Setup Hacking-Lab (OWASP ZAP) Risks and Threats Broken Access Control SQL Injection Authentication, Federated Logins JWT Vulnerabilities Misconfiguration & Known Vulnerabilities Server-Side Request Forgery Tag 2 Im zweiten Teil liegt der Fokus auf dem Client (Desktop-Browser, Mobile-Browser). Auch am zweiten Tag werden die Schwachstellen am OWASP Juice Shop geübt. XSS (Reflected-, Stored-, Dom-XSS, Mutation-XSS) Same Origin Policy CSRF Attacks CORS & Cookie Security Secure Development (Security Testing Pyramid, Threat Modeling) DevSecOps (Static Analysis, Dependency Checks, Vulnerability Scanner) Neu werden auch die Themen Secure Development und DevSecOps im Kurs behandelt. Die Teilnehmenden erhalten praxisnahe Tipps, wie die Sicherheit im eigenen Softwareprojekt verbessert werden kann. Tag 3 - Fireside Chat (optional) Rund zwei Wochen nach dem Kurs haben Sie die Möglichkeit, an einem 'Fireside Chat' teilzunehmen. Bei diesem Follow-up Coaching beantworten die Trainer offene Fragen und stehen für Tipps und Anregungen zur Verfügung. Der einstündige Fireside Chat ist optional und findet online statt. Kursziele Die Teilnehmenden kennen die aktuellen Schwachstellen moderner Web-Applikationen (inklusive OWASP Top 10) und können diese erkennen und ausnutzen. Zudem wissen sie, welche Schutzmassnahmen existieren und wie diese implementiert werden. Sie kennen die notwendigen Tools, um eine Web-Applikation zu analysieren und abzusichern und können sich in die Rolle eines Hackers versetzen. Zielgruppe Der Workshop richtet sich an Software-Entwickler und -Architekten, die sich mit Web-Technologien auseinandersetzen und ist bewusst technologie-unabhängig. Er eignet sich damit für jeden Web-Entwickler. Einen Firmenkurs anfragen Erhalten Sie ein unverbindliches Angebot für ein Firmentraining, zugeschnitten auf Ihre Bedürfnisse. Jetzt anfragen Interesse an einem Academy Kurs Kontaktieren Sie uns bei Interesse an einer öffentlichen Kursdurchführung Jetzt anfragen