Was bietet mir der Workshop?
Die Teilnehmer erhalten praxisnahes Wissen, um Webanwendungen sicher zu entwickeln. Lernen Sie, wie Sie Sicherheitslücken früh erkennen und vermeiden.
Der Workshop orientiert sich an den OWASP Top-10 und verbindet Theorie mit Hands-on-Übungen in einer dedizierten Trainingsumgebung.
Was lernen die Teilnehmer?
Teilnehmer lernen, wie typische Sicherheitslücken in Webanwendungen entstehen und wie Angreifer sie ausnutzen. Sie verstehen, woran sich Schwachstellen in Request und Response erkennen lassen.
Sie lernen, Sicherheitslücken zu finden, zu verstehen und wirksam zu beheben. Der Fokus liegt auf sicherer Webentwicklung im Projektalltag.
- OWASP Top-10: Schwachstellen erkennen, ausnutzen und vermeiden
- Secure Software Development Lifecycle (SSDLC): Sicherheit und Datenschutz früh integrieren
- Umgang mit einem Webproxy: Applikationen auf Schwachstellen testen
- Schwache Authentisierung: Risiken erkennen und beheben
- SQL Injections, Cross Site Scripting (XSS) und Cross Site Request Forgery (CSRF) vermeiden
- Security Misconfiguration, Broken Access Control sowie Logging and Monitoring umsetzen
- Security Scanner einsetzen, um Sicherheitslücken aufzuspüren und zu beheben
Sie senden speziell manipulierte Anfragen an eine Webanwendung und testen eine reale Anwendung mit Sicherheitslücken. So bauen Sie ein klares Verständnis dafür auf, wie Angriffe funktionieren und wie Sie diese abwehren.
Für wen ist der Kurs geeignet?
IT-Sicherheit für Webentwickler richtet sich an Softwareentwickler und Architekten, die Webanwendungen entwickeln oder entwerfen. Der Kurs passt für Teams, die Websites oder (REST-)Services bauen. Auch bei Mobile-Application-Projekten ist der Kurs hilfreich, wenn Webschnittstellen oder vernetzte Komponenten im Spiel sind.
- Erfahrung mit mindestens einer Programmiersprache
- Grundlagen der Webentwicklung (HTML, CSS, JavaScript und Request & Response)
- Hilfreich: Basiskenntnisse in SQL und JavaScript sowie Kenntnis der Entwicklertools der Webbrowser
Was erhalten Teilnehmer?
Sie erhalten einen Mix aus Theorie und Praxis mit (Live-)Demos zu typischen Angriffsvektoren. Übungen festigen die Inhalte und werden in Gruppen durchgeführt. Es gibt Raum für Fragen aus dem Projektalltag. Sie arbeiten mit realistischen Beispielen und einer Trainingsumgebung.
- Zweitägiger Live-Workshop, 9:00–17:00
- Dedizierte Trainingsumgebung mit geführtem Hands-on-Hacking entlang der OWASP Top-10
- Reale, anonymisierte Projektbeispiele zur Verknüpfung von Theorie und Praxis
- Praxisarbeit mit Webproxy und speziell manipulierten Anfragen
Warum dieser Workshop?
IT-Sicherheit für Webentwickler zeigt typische Schwachstellen dort, wo sie entstehen: in der Webentwicklung. Sie lernen Maßnahmen, die Sie direkt in Code, Architektur und Konfiguration umsetzen können.
Der Schwerpunkt liegt auf Behebung und Prävention. So vermeiden Sie Sicherheitslücken früh im SSDLC und reduzieren Risiken im Betrieb.
Agenda
- Einführung in die Informationssicherheit: Legt das Fundament für ein besseres Verständnis.
- OWASP: Was ist das und was bietet sie?
- Der Secure Software Development Lifecycle (SSDLC): Erfahren Sie, wie man Sicherheit und Datenschutz schon in der Entwicklungsphase integriert.
- Umgang mit einem Webproxy: Lerne, wie Sie Webproxies effektiv einsetzen um Applikationen auf Schwachstellen zu testen.
- Schwache Authentisierung: Entdecken Sie die Risiken schwacher Authentifizierungsmethoden und deren Behebung.
- SQL Injections: Lernen Sie diese gefährliche Schwachstelle zu erkennen und sich davor zu schützen.
- Cross Site Scripting (XSS): Tauchen Sie in die verschiedenen XSS-Varianten (Reflected, Stored, DOM-based) ein undwie man sie verhindert.
- Cross Site Request Forgery (CSRF): Verstehen, wie CSRF-Attacken funktionieren und wie Sie ihre Anwendungen dagegen absichern.
- Cryptographic Failures: Vermeiden Sie kryptografische Fehler in Anwendungen.
- Software Supply Chain Failurs: Lernen Sie den sicheren Umgang mit veralteten und anfällige Bibliotheken und Komponenten.
- Insecure Design: Identifizieren von unsicheren Designs und lernen, wie Sie diese vermeiden.
- Broken Access Control: Verhindern Sie das umgehen von Zugriffskontrollen.
- Security Misconfiguration: Vermeiden Sie Fehlkonfigurationen, die die Sicherheit gefährden.
- Identification and Authentication Failures: Schütze Sie sich vor Identifikations- und Authentifizierungsfehlern.
- Software and Data Integrity Failures: Wachen sie über die Integrität ihrer Software und Daten.
- Logging and Monitoring: Sorgen Sie für eine effektive Überwachung und Protokollierung ihrer Applikation.
- Security Scanner: Nutzen Sie moderne Tools, um Sicherheitslücken aufzuspüren und zu beheben.
