Eckdaten
Zielgruppe: Web Developer*innen, Softwareentwickler*innen | Dauer: 2 Tage | 9:00–16:30 Uhr | Trainerin: Martina Kraus | Ort: online | Teilnehmerzahl: 4–12
Seminarbeschreibung
Das Seminar behandelt, welche Fehler zu Web-Sicherheitslücken führen und wie diese ausgenutzt werden können. Es ermöglicht die eigenständige Erkennung und Vermeidung von Sicherheitslücken im Entwicklungsalltag.
Ziel ist die Vertiefung von Kenntnissen im Bereich IT-Sicherheit für Personen mit Erfahrung in der Webentwicklung.
Die Schulung findet als Online-Videokonferenz statt, alle notwendigen Informationen und Zugangsdaten werden vorab per E-Mail versandt.
Agenda der IT-Schulung
IT-Security Grundlagen
- Sicherheitsprinzipien
- Hashing/Encryption/Encoding
- Symmetrische/asymmetrische Verschlüsselung
- Authentifizierung & Autorisierung
- Wichtige kryptografische Algorithmen
Sicherheitskonzepte in Webanwendungen
- Same Origin Policy
- Cookie-Sicherheit (Cookie Attribute wie httpOnly)
- HTTP-Sicherheit
- Richtiger Einsatz sicherheitsrelevanter HTTP-Header
- Content Security Policy (CSP)
- Transportverschlüsselung
- Richtiger Einsatz der Two-Factor-Authentication
- JWT
- OAuth2 und OpenID Connect
- uvm.
Praktische Anwendung der Sicherheitskonzepte
- Wie man Datenintegrität sicherstellt, selbst wenn diese
- über unsichere Kanäle laufen
- den Kommunikationsweg absichert
- Anwendungen mehrstufig schützt
- Passwörter sicher speichert und
- Worauf man achten muss bei einer
- Authentifizierungs-implementierung
- Einsatz eines Web-Frameworks
- Sichere Implementierung von
- Formularen und Datei-Uploads
- Denial-of-Service-Absicherungsstrategien
- Sicherheitsmaßnahmen für das Frontend und
- Sichere API-Entwicklung u.a. mit REST-Services
Angriffe auf Webanwendungen
- OWASP Top-10
- Credential Attacks
- Cross-Site-Scripting
- Cross Site Request Forgery (CSRF)
- Diverse Injection-Attacken (z.B. SQL)
- DoS
Absicherung von Webanwendungen
- im Zuge der vorgestellten Angriffsvektoren
Einführung in das Prüfen auf Schwachstellen einer Webanwendung
- Manuelle und automatische Werkzeuge
- Statische und dynamische Analyse zum Scannen auf Sicherheitslücken
Zielgruppe
Ziel dieses Kurses sind Personen, die Web-Applikationen im Frontend oder Backend implementieren, konzipieren oder technische Hintergründe evaluieren.
Es sollten fundierte Kenntnisse in grundlegenden Web-Technologien vorhanden sein, einschließlich HTTP, HTML, grundlegendem JavaScript und idealerweise einer dynamischen Backend-Sprache nach Wahl.
