Grundlagen der Sicherheit in Webanwendungen
Übersicht
Im Rahmen dieser Schulung lernen Web-Entwickler die häufigsten Bedrohungen für Webanwendungen kennen und welche Gegenmaßnahmen getroffen werden können. Als Beispiel-Anwendung mit absichtlich bestückten Schwachstellen dient das OpenSource Projekt Juice Shop.
Die erlernten Konzepten lassen sich auf jede Programmiersprache und Architektur anwenden.
Nach Abschluss dieses Moduls werden die Teilnehmer:
- die Bedeutung der Web-Sicherheit für Unternehmen und Organisationen kennen.
- sich Grundlagenwissen und darauf aufbauendes Methodenwissen an geeignet haben, um eine (einfache) Risiko-Bewertung von Web-Anwendungen durchzuführen sowie Ansätze zur Absicherung anbieten zu können.
- Verständnis des Zusammenspiels zwischen dem Software-Entwicklungsprozess und Sicherheit haben.
Inhalte
- Kurzer Einstieg in Web-Grundlagen
- Grundlagen der IT-Sicherheit
- Web-Risiken orientiert an den aktuellen OWASP Top TenA01:2021-Broken Access ControlA2:2017-Broken AuthenticationA03:2021-Injection including XSSA04:2021-Insecure DesignA05:2021-Security MisconfigurationA06:2021-Vulnerable and Outdated ComponentsA07:2021-Identification and Authentication FailuresA08:2021-Software and Data Integrity FailuresA09:2021-Security Logging and Monitoring FailuresA10:2021-Server-Side Request Forgery
Übungen bestehen aus einem Angriffs-Teil, bei welchem zunächst die Bedrohung durch praktisches ausprobieren erlernt wird und aus einem Abwehr-Teil, bei dem Maßnahmen zur Minderung oder Abwehr der Bedrohung vorgestellt oder Implementiert werden.
Nach Wunsch kann auf Technologien wie Keycloak, OAuth2.1, Open Policy Agent und weitere moderne Werkzeuge und Methoden werden.akA02:2021-Cryptographic Failures
Zielgruppe
Alle Personen die mindestens seit zwei Jahre in der Entwicklung von Webanwendungen tätig sind und bei denen Folgendes keine Fragezeichen auslöst:
HTML, HTTP, SQL, noSQL, Datenbank, Browser
Methodik
Learning by doing is one of the most important paradigms. More about the training methodology here.
Trainer
Timo Pagel lässt sein Wissen aus über 20 Jahren im Betrieb und der Entwicklung in seine Trainings einfließen. Als DevSecOps-Berater berät er nicht nur auf der strategischen Ebene sondern legt auch „Hand an“.
+ Sehr guter Anteil konkreter Übungen!
Anonym, IT-Beratungsbranche
+ Wichtige Bereiche wurden immer mit der „Übersichtskarte“ gezeigt.
+ Guter Rundumblick
Schönes Beispiel aus der Praxis von docker12321 🙂
Anonym, Versicherungsbranche
interaktiver Ansatz gefällt mir gut!
Anonym, Versicherungsbranche
Beispielseiten wie die „Check Security Header“ gefallen mir sehr gut.
Anonym, Versicherungsbranche
Sehr gute Idee, dass einem Zeit gelassen wird die praktischen Aufgaben direkt zu machen und gewartet wird, dass wirklich alle fertig sind (indem alle die Hand heben). Gut waren auch die Anzahl an Übungen und die erklären dazu was denn genau passiert. Auch die Themen der Übungen wurden gut gewählt, sodass man versteht, was die Tools machen und wie sie funktionieren
Anonym, Versicherungsbranche
Gute Übungen, die einen sinnvollen Lerneffekt hatten
Anonym, Versicherungsbranche
Sehr angenehme Einführung in das Thema des Threads Modelling, sodass man sich schon selbst Gedanken bezüglich der potentiellen Threats machen kann.
Anonym, Versicherungsdienstleister
Wir müssen uns alle an die aktuelle Situation gewöhnen. Insofern war heute alles cool! Vielen Dank
Anonym, Versicherungsbranche
(Hinweis: Erster Workshop beim Corona-Start)
Angenehm aufbereitet. Vor allem die praktischen Beispiele helfen immer enorm!
Anonym, Versicherungsdienstleister
Viele Übungen; einiges an Input, aber durch den Praxisbezug sehr verständlich! Nicht nur firmenbezogenen, sondern auch für die private Anwendung interessant
Anonym, IT-Beratungsbranche
Kostenloses Erstgespräch vereinbaren

