IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop

1.200,00 EUR exkl. MwSt./USt
Regulärer Preis
1.428,00 EUR inkl. MwSt./USt.
Angebotspreis
1.428,00 EUR inkl. MwSt./USt.
Regulärer Preis
1.428,00 EUR
Ausverkauft
Stückpreis
per 

Datum 6.–7. Dezember 2021

Uhrzeit 9:00–17:00

Format Virtuell

Eckdaten

Zielgruppe: Webentwickler*innen | Dauer: 2 Tage | 9:00–17:00 Uhr | Trainer: Hanno Böck | Ort: online | Teilnehmerzahl: 6–12

Seminarbeschreibung

Dieses Seminar richtet sich an Webentwickler*innen, die die Grundlagen von Websicherheit lernen möchten. Ziel ist es, ein grundlegendes Verständnis für häufige Web-Sicherheitslücken zu erlangen und auch zu verstehen, warum diese ein Problem sind.

Zwar dürften nahezu alle Webentwickler*innen schon von Problemen wie Cross-Site-Scripting oder Cross-Site-Request-Forgery gehört haben, aber vielen ist dabei nicht klar, warum diese Fehler zu Sicherheitslücken führen und wie diese praktisch ausgenutzt werden können.

Um ein besseres Verständnis für die Risiken zu gewinnen, werden wir anhand von bekannten Lücken in realen Webapplikationen verschiedene Angriffe praktisch durchführen.

Die Schulung richtet sich dabei primär an Personen, die zwar mit Webentwicklung Erfahrung haben, die aber bisher noch keine tiefer gehenden Kenntnisse in Sachen IT-Sicherheit haben.

Vorausgesetzt werden grundlegende Kenntnisse in Javascript. Zudem sollten Teilnehmende den Umgang mit der Linux-Kommandozeile und die Benutzung von SSH beherrschen.

Die Schulung findet per Online-Videokonferenz statt, die Teilnehmenden erhalten alle nötigen Informationen und Zugangsdaten vorab per E-Mail.

Agenda der IT-Schulung

Teil 1:

  • Praktische Ausnutzung von klassischen Web-Sicherheitslücken an Beispielen
  • Webanwendung übernehmen mit Cross-Site-Scripting (XSS)
  • Cross-Site-Request-Forgery-Angriff bei fehlenden Sicherheitstokens
  • Daten exfiltrieren und manipulieren mit SQL-Injections

Teil 2:

  • Subdomain Takeover und Ausnutzung bei populären Cloud-Anbietern mit Nameserver-Delegation und CNAME
  • Datei-Leaks (Backup-Dateien, Git-Verzeichnisse etc.)
  • HTTPS, HSTS und Stripping-Angriffe
  • Überblick über HTTP-Security-Header
  • Passwort-Handling, moderne Passwort-Policies, Password-Stuffing und Gegenmaßnahmen

KPI

Die Teilnehmer haben am Ende des Seminars ein grundlegendes Verständnis für gängige Web-Sicherheitslücken. Sie haben Sicherheitslücken anhand von realen Beispielen ausgenutzt und können einschätzen, welches Risiko diese darstellen und wie diese vermieden werden können.

Eckdaten

Zielgruppe: Webentwickler*innen | Dauer: 2 Tage | 9:00–17:00 Uhr | Trainer: Hanno Böck | Ort: online | Teilnehmerzahl: 6–12

Seminarbeschreibung

Dieses Seminar richtet sich an Webentwickler*innen, die die Grundlagen von Websicherheit lernen möchten. Ziel ist es, ein grundlegendes Verständnis für häufige Web-Sicherheitslücken zu erlangen und auch zu verstehen, warum diese ein Problem sind.

Zwar dürften nahezu alle Webentwickler*innen schon von Problemen wie Cross-Site-Scripting oder Cross-Site-Request-Forgery gehört haben, aber vielen ist dabei nicht klar, warum diese Fehler zu Sicherheitslücken führen und wie diese praktisch ausgenutzt werden können.

Um ein besseres Verständnis für die Risiken zu gewinnen, werden wir anhand von bekannten Lücken in realen Webapplikationen verschiedene Angriffe praktisch durchführen.

Die Schulung richtet sich dabei primär an Personen, die zwar mit Webentwicklung Erfahrung haben, die aber bisher noch keine tiefer gehenden Kenntnisse in Sachen IT-Sicherheit haben.

Vorausgesetzt werden grundlegende Kenntnisse in Javascript. Zudem sollten Teilnehmende den Umgang mit der Linux-Kommandozeile und die Benutzung von SSH beherrschen.

Die Schulung findet per Online-Videokonferenz statt, die Teilnehmenden erhalten alle nötigen Informationen und Zugangsdaten vorab per E-Mail.

Agenda der IT-Schulung

Teil 1:

  • Praktische Ausnutzung von klassischen Web-Sicherheitslücken an Beispielen
  • Webanwendung übernehmen mit Cross-Site-Scripting (XSS)
  • Cross-Site-Request-Forgery-Angriff bei fehlenden Sicherheitstokens
  • Daten exfiltrieren und manipulieren mit SQL-Injections

Teil 2:

  • Subdomain Takeover und Ausnutzung bei populären Cloud-Anbietern mit Nameserver-Delegation und CNAME
  • Datei-Leaks (Backup-Dateien, Git-Verzeichnisse etc.)
  • HTTPS, HSTS und Stripping-Angriffe
  • Überblick über HTTP-Security-Header
  • Passwort-Handling, moderne Passwort-Policies, Password-Stuffing und Gegenmaßnahmen

KPI

Die Teilnehmer haben am Ende des Seminars ein grundlegendes Verständnis für gängige Web-Sicherheitslücken. Sie haben Sicherheitslücken anhand von realen Beispielen ausgenutzt und können einschätzen, welches Risiko diese darstellen und wie diese vermieden werden können.

Customer Reviews

Based on 3 reviews Write a review

Für alle fachlichen Workshops und virtuellen Live-Kurse gilt:

Nach Erwerb eines Workshop Platzes ("Ticket") werden den Teilnehmenden ca. eine Woche vor Workshop-Beginn die Logindaten zum virtuellen Schulungsraum sowie Schulungsmaterialien per Mail zur Verfügung gestellt.


Der Workshop wird in deutscher Sprache durchgeführt. Die Teilnehmenden benötigen eigene PCs mit dem Betriebssystem ihrer Wahl und Internet-Anschluss zum Zugriff auf die Schulungsumgebung.

Sollte der Workshop aufgrund von Krankheit, höherer Gewalt oder zu wenig Anmeldungen nicht durchgeführt werden können, informieren wir die Teilnehmenden schnellstmöglich. Der Ticketpreis wird in dem Fall erstattet.

Für alle Coachings und auf persönliche Kompetenzen ausgelegten Trainings gilt:

Nach Buchung eines Coachings wird der Sitzungstermin mit Ihrem Coach individuell ausgemacht. Wir treten mit Ihnen in Kontakt, um Ihre Wunschtermine zu erfragen und diese mit dem gebuchten Coach zu organisieren.

Die Sitzung kann in deutscher oder in englischer Sprache durchgeführt werden. Technische Voraussetzungen sind ein Live-Video-Stream in Bild und Ton fähiges Endgerät, ein Mikrofon und falls gewünscht eine Webcam. Wir empfehlen, während einer Sitzung eine stabile Internetverbindung oder ein WLAN zu nutzen.

Sollten Sie an der Sitzung nicht teilnehmen können, können Sie die Sitzung kostenlos auf einen Ausweichtermin verschieben.


Für alle E-Learning Kurse unseres Partners Shop Hackers gilt:

Achtung: alle E-Learning Kurse von Shop Hacker sind englischsprachig und vorgefertigt. Weitere Infos findest du in der jeweiligen Produktbeschreibung. Bitte prüfe nach deinem Einkauf dein Postfach (evtl. Spam) und registriere dich für deinen E-Learning Kurs. Solltest du einen weiteren Kurs bei uns einkaufen, wird dir dieser in deinem Academy Hacker Konto hinterlegt. WICHTIG: mit Kursstart erlischt das Widerrufsrecht. 

Du hast eine Frage oder wünschst ein individuelles Angebot für deine Firma? Dann kontaktiere uns gerne:

Hanno Böck

Hanno Böck ist Redakteur bei Golem.de und schreibt auch regelmäßig für andere Publikationen über IT-Sicherheit. Er ist Autor des monatlichen Newsletters Bulletproof TLS. In der Vergangenheit hat er mehrfach Sicherheitslücken in TLS-Implementierungen aufgedeckt, etwa den ROBOT-Angriff und Schwächen bei der Implementierung des GCM-Algorithmus. Er hat zum Thema TLS bereits Vorträge bei wichtigen Konferenzen wie der Black Hat, der Def Con und dem Chaos Communication Congress gehalten.