Secure Web Development Workshop

Die Teilnehmer erarbeiten die Grundlagen sicherer Webentwicklung. Fokus ist die praxisnahe Betrachtung von Sicherheitsproblemen in Webtechnologien aus Entwicklersicht. Es werden aktuelle Sicherheitsvorfälle präsentiert und die typischen Angriffsvektoren beschrieben. Auf den Softwareentwicklungs- und Security Testing-Prozess wird detailliert eingegangen. Der Hauptteil des Workshops behandelt den OWASP Testing Guide. Dazu werden anhand vieler Beispiele und Übungen praxisgetrieben die gängigen Sicherheitslücken aufgezeigt und ausgenutzt (Exploits). Jede gefundene Sicherheitslücke wird im Quellcode geschlossen und danach das Scheitern des Angriffs geprüft. Als Grundlage dienen die OWASP Top Ten, CWE/SANS Top 25 und Best Practices des BSI.

Agenda

  1. Introduction
    • Recent Incidents
    • Attack Vectors of Web Applications
  2. Secure Development Life Cycle
    • Standards and Best Practices
      • ISO 27034
      • BSI Guideline For Developing Secure Web Applications
  3. Security Testing Process
    • Security Requirements
    • Threat Modeling
      • Exercise: Creating a threat model
    • Static Source Code Analysis
    • Fuzzing
      • Demo: Live Fuzzing
  4. OWASP Testing Guide Hands-on
    • Configuration and Deployment Management Testing
    • Identity Management Testing
      • Exercise: Access-Control Matrix
    • Authorization and Authentication Testing
      • Exercise: Role-based Access Control
    • Session Management Testing
      • Exercise: Session Fixation
    • Input Validation Testing
    • Exercises:
      • Cross-Site-Scripting Lab
      • BeeF XSS Framework
      • Cross-Site Request Forgery
      • SQL-Injection Lab
    • Client Side Testing
      • Exercise: DOM XSS Lab
    • Testing for Error Handling and Weak Cryptography

Nach Abschluss des Workshops erhalten Sie eine Teilnahmebescheinigung.

Lernziele

Nach dem Workshop kennen die Teilnehmer die gängigsten Sicherheitslücken aus den Übungen und wissen wie die Sicherheitslücken identifziert, ausgenutzt und behoben werden. Sie haben Kenntnisse über aktuelle Sicherheitsvorfälle aus den Lektionen gelernt und übliche Angriffsvektoren eingeübt. Die Teilnehmer können den im Workshop behandelten Security Testing Process für die Softwareentwicklung auf eigene Projekte anwenden.

Dauer: 2 Tage

Termine: Di. 13.02.2018 – Mi. 14.02.2018, Do. 19.04.2018 – Fr. 20.04.2018, Mo. 16.10.2018 – Di. 17.10.2018

Voraussetzungen:

  • Allgemeine Netzwerkkenntnisse, Kenntnisse von Webtechnologien, allgemeine Programmierkenntnisse.
  • Eigener Laptop mit aktueller Virtualbox Version und Administratorrechten

Zielgruppe:

  • Software Entwickler/Designer
  • Software Tester
  • Administratoren

Natürlich kann jeder interessierte, der die Voraussetzungen erfüllt, am Workshop teilnehmen.

Kosten:
1.300.- Euro zzgl. 19% MwSt.
(Mittagessen und Getränke sind im Preis inbegriffen.)

Die Workshops finden bei softScheck statt, werden auf Anfrage aber auch gerne inhouse durchgeführt.

Anmeldung und organisatorische Fragen:
info@softscheck.com
+49 2241 255 43 0
www.softScheck.com