Schulungsübersicht
IT-Sicherheit und Secure Coding
- Überblick über die Prinzipien der Informationssicherheit
- CIA-Dreieck: Vertraulichkeit, Integrität, Verfügbarkeit
- Häufige Bedrohungen und Bedrohungsmusterung
- Beste Praktiken für den sicheren Softwareentwicklungslebenszyklus (SSDLC)
Web Application Security
- Verständnis der Top Ten von OWASP und darüber hinaus
- Aufschlüsselung von Authentifizierungs- und Sitzungsverwaltungsfehlern
- Einschleusungsanfälligkeiten (SQL, Befehlsinjektion, LDAP usw.)
- Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF)
Client-Seitige Sicherheit
- DOM-basierte Angriffe und JavaScript-spezifische Risiken
- Sicherheitslücken bei der Nutzung von AJAX und Browser-Speicher
- Klickjacking und UI Redressing
- Implementierung der Content Security Policy (CSP)
Anwendungspraktische Kryptografie
- Basisbegriffe: Hashing, Verschlüsselung, digitale Signaturen
- Vergleich öffentlicher Schlüsselkryptografie und symmetrischer Schlüsselkryptografie
- Grundlagen der Transport Layer Security (TLS)
- Schlüsselverwaltung und häufige Fehler in Kryptoanwendungen
Sicherheit von Web Services
- Berücksichtigung der Sicherheit bei SOAP und REST
- Authentifizierungsmechanismen: OAuth, JWT, API-Schlüssel
- Häufige Angriffe auf Webdienste und Verteidigungsstrategien
- Eingabeverifikation in Dienstpayloads
XML Sicherheit
- XML-Injektionen und Parsing-Angriffe
- Entitätsausweitung und XXE-Schwachstellen
- Sichere Parsing-Techniken und -Bibliotheken
- Nutzung von XML Sicherheitsstandards (XML-DSig, XML-Enc)
Kenntnisquellen und Sicherheitstools
- Empfohlene Werkzeuge für die Sicherheitstests (z.B., OWASP ZAP, Burp Suite)
- Code-Scannen und -Analysetools
- Online-Ressourcen und Sicherheitsrichtlinien
- Wie man sich über neue Bedrohungen auf dem Laufenden hält
Zusammenfassung und weitere Schritte
Voraussetzungen
- Eine Grundkenntnis der Architektur von Webanwendungen
- Erfahrung mit einer Programmiersprache wie Java, C#, PHP oder JavaScript
- Vertrautheit mit Client-Server-Kommunikation und HTTP
Zielgruppe
- Entwickler
- Architekten von Webanwendungen
- sicherheitsbewusste technische Teams
Erfahrungsberichte (5)
Überblick über die wichtigsten Themen im Zusammenhang mit Softwarearchitektur. Diese Ausbildung hat mich inspiriert, einige dieser Themen vertieft zu erforschen ;)
Konrad Fuchsig - EY GDS
Kurs - Web Application Security
Maschinelle Übersetzung
Erklärung der Begriffe, von denen ich keine Ahnung hatte. Die ruhige und freundliche Art des Tutoren sowie sein sehr umfassendes Wissen.
Michal Kowalczyk - EY GDS
Kurs - Web Application Security
Maschinelle Übersetzung
Praktische Beispiele und die Möglichkeit, zu testen, wie Web-Injektionen aus der Perspektive eines Angreifers funktionieren – nicht aus Sicht des Benutzers, sondern des Angriffers.
Jessica Wierzbicka - EY GDS
Kurs - Web Application Security
Maschinelle Übersetzung
Die praktischen Übungen waren ausgezeichnet.
Dr. Farhan Hassan Khan - TDM GROUP
Kurs - Web Application Security
Maschinelle Übersetzung
Trainer ist ein Experte in seinem Bereich
Adnan ul Husnain Hashmi - TDM GROUP
Kurs - Web Application Security
Maschinelle Übersetzung