Web Application Security anhand der OWASP Top 10

Sicherheits-Risiken in Webanwendungen veranschaulicht dargestellt anhand der OWASP Top 10 (2017) mit exemplarischen Angriffsvektoren und Besprechung geeigneter Maßnahmen. Weitere wichtige Punkten aus den "alten" OWASP Top 10 (2013) werden ebenfalls besprochen.

Veranstaltungs-Agenda

Teil 1

• Kurzvorstellung OWASP als Organisation, OWASP Top 10 - 2017, mit Rückschau (Top 10: 2013, 2010, 2007, 2004)
• Prinzipielle Funktionsweise einer Anwendung basierend aufClient / Server / Repository
• Architektur Kurzeinführung in HTTP, SSL/TLS, HTML und JavaScript
• Vorstellung Intercepting HTTP-Proxies und geeigneter Browser-AddOns für sicherheitstechnische Betrachtungen
•  

Teil 2

• OWASP Top 10 - A7 - 2017 - Cross-Site Scripting (XSS)[aus didaktischen Gründen wird die A7 zuerst behandelt, um Grundlagen zu schaffen]
  OWASP Top 10 - A1 - 2017 - Injection

Teil 3

• OWASP Top 10 - A2 - 2017 - Fehler in der Authentifizierung
  OWASP Top 10 - A3 - 2017 - Verlust der Vertraulichkeit sensibler Daten
  OWASP Top 10 - A4 - 2017 - XML External Entities (XXE)
  OWASP Top 10 - A5 - 2017 - Fehler in der Zugriffskontrolle
  OWASP Top 10 - A6 - 2017 - Sicherheitsrelevante Fehlkonfiguration
  OWASP Top 10 - A8 - 2017 - Unsichere Deserialisierung

Teil 4

• OWASP Top 10 - A9 - 2017 - Nutzung von Komponenten mit bekannten Schwachstellen
  OWASP Top 10 - A10 - 2017 - Unzureichendes Logging & MonitoringCross-Site Request Forgery (CSRF) (Top 10 - A8 - 2013)
  Ungeprüfte Um- und Weiterleitungen (Top 10 - A10 - 2013)
  ClickjackingInformation Gathering
  Zusammenfassung, Ausblick und weiterführende Möglichkeiten
  Offene Diskussion, ggf. begleitet von Live-Hacking Demonstration