Beschreibung
Ziele
Entwickler und Architekten lernen, über den funktionalen Tellerrand zu blicken und auch nicht-funktionale Anforderungen im Blick zu behalten. Hierzu wird im Kopf das "evil-bit" gesetzt und die Welt mit den Augen eines spaßgetriebenen Hackers betrachtet. Am Ende wird die Software sicherer und die Welt ein besserer Ort.
Zielgruppe
Bei einer homogenen Gruppe kann der Schwerpunkt auch "wie gewünscht" gelegt werden.
Inhalte
Sicherheits-Risiken in Webanwendungen veranschaulicht dargestellt anhand der OWASP Top 10 (2017) mit exemplarischen Angriffsvektoren und Besprechung geeigneter Maßnahmen. Weitere wichtige Punkten aus den "alten" OWASP Top 10 (2013) werden ebenfalls besprochen.
Veranstaltungs-Agenda
Teil 1
- Kurzvorstellung OWASP als Organisation, OWASP Top 10 - 2017, mit Rückschau (Top 10: 2013, 2010, 2007, 2004)
- Prinzipielle Funktionsweise einer Anwendung basierend aufClient / Server / Repository
- Architektur Kurzeinführung in HTTP, SSL/TLS, HTML und JavaScript
- Vorstellung Intercepting HTTP-Proxies und geeigneter Browser-AddOns für sicherheitstechnische Betrachtungen
Teil 2
- OWASP Top 10 - A7 - 2017 - Cross-Site Scripting (XSS)[aus didaktischen Gründen wird die A7 zuerst behandelt, um Grundlagen zu schaffen]
OWASP Top 10 - A1 - 2017 - Injection
Teil 3
- OWASP Top 10 - A2 - 2017 - Fehler in der Authentifizierung
OWASP Top 10 - A3 - 2017 - Verlust der Vertraulichkeit sensibler Daten
OWASP Top 10 - A4 - 2017 - XML External Entities (XXE)
OWASP Top 10 - A5 - 2017 - Fehler in der Zugriffskontrolle
OWASP Top 10 - A6 - 2017 - Sicherheitsrelevante Fehlkonfiguration
OWASP Top 10 - A8 - 2017 - Unsichere Deserialisierung
Teil 4
- OWASP Top 10 - A9 - 2017 - Nutzung von Komponenten mit bekannten Schwachstellen
OWASP Top 10 - A10 - 2017 - Unzureichendes Logging & MonitoringCross-Site Request Forgery (CSRF) (Top 10 - A8 - 2013)
Ungeprüfte Um- und Weiterleitungen (Top 10 - A10 - 2013)
ClickjackingInformation Gathering
Zusammenfassung, Ausblick und weiterführende Möglichkeiten
Offene Diskussion, ggf. begleitet von Live-Hacking Demonstration
Methode
Kommende Starttermine
Ihr/e Trainer/in
Infos anfordern
Die Unternehmensgruppe des Bildungswerks der Bayerischen Wirtschaft e. V.
Unter dem Dach des Bildungswerks der Bayerischen Wirtschaft e.V. hat sich ein Netzwerk von 18 Bildungsunternehmen, Sozial- und Personaldienstleistern mit flächendeckender Präsenz in Bayern entwickelt. Ihr innovatives Dienstleistungsportfolio in den Bereichen Bildung, Beratung, Personal und Soziales ist praxisnah und konsequent...