Der Workshop richtet sich an erfahrene Webentwickler und vermittelt, wie typische Fehler zu Sicherheitslücken in Webanwendungen führen, wie diese ausgenutzt werden können und wie man sie im Entwicklungsalltag erkennt und vermeidet. Die Schulung findet online statt, Zugangsdaten werden vorab per E-Mail verschickt. Wichtige Elemente des Workshops:
Grundlagen der IT-Sicherheit:
Sicherheitsprinzipien, Hashing, Verschlüsselung (symmetrisch/asymmetrisch), Authentifizierung, Autorisierung und kryptografische Algorithmen.
Sicherheitskonzepte für Webanwendungen:
Same Origin Policy, Cookie-Sicherheit (z. B. httpOnly), HTTP-Sicherheit, Einsatz sicherheitsrelevanter HTTP-Header, Content Security Policy (CSP), Transportverschlüsselung, Zwei-Faktor-Authentifizierung, JWT, OAuth2 und OpenID Connect.
Praktische Anwendung:
Sicherstellung von Datenintegrität, Absicherung von Kommunikationswegen, mehrstufiger Schutz von Anwendungen, sichere Passwortspeicherung, sichere Authentifizierungs-Implementierung, sichere Formulare und Datei-Uploads, DoS-Schutz, Sicherheitsmaßnahmen für Frontend und sichere API-Entwicklung (z. B. REST).
Angriffe auf Webanwendungen:
OWASP Top-10, Credential Attacks, Cross-Site-Scripting (XSS), Cross-Site Request Forgery (CSRF), verschiedene Injection-Angriffe (z. B. SQL), Denial-of-Service (DoS).
Absicherung und Schwachstellenprüfung:
Methoden zur Absicherung gegen die genannten Angriffsvektoren, Einführung in manuelle und automatische Werkzeuge zur Schwachstellenanalyse sowie statische und dynamische Sicherheits-Scans.