Sichere Web-Anwendungen entwickeln

tutego
In Dortmund

Preis auf Anfrage
Möchten Sie den Bildungsanbieter lieber direkt anrufen?
(0) 3... Mehr ansehen
Vergleichen Sie diesen Kurs mit ähnlichen Kursen
Mehr ansehen

Wichtige informationen

  • Kurs
  • Dortmund
  • Dauer:
    2 Tage
  • Wann:
    Freie Auswahl
Beschreibung

Das Web 2.0 und neue Programmiertechniken öffnen auch immer neue Angriffsflächen für Hacker. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zu diesem Thema einen Maßnahmenkatalog und Best Practices für Sicherheit von Webanwendungen herausgegeben. Dieses Seminar behandelt sowohl die BSI-Richtlinien als auch weiterführende Techniken, mit denen Entwickler ihre Web-Anwendungen und Server vor Cracking und Datendiebstahl schützen können. Teilnehmer lernen durch praxisnahe Anwendungsbeispiele sowohl Schwachstellen vor der Entwicklung aufzudecken und zu schließen, als auch bestehende Anwendungen vor Angriffen zu schützen.

Wichtige informationen
Veranstaltungsort(e)

Wo und wann

Beginn Lage
Freie Auswahl
Dortmund
Nordrhein-Westfalen, NRW, Deutschland
Plan ansehen

Themenkreis

* Grundlagen sicherer Web-Anwendungen - Was bedeutet Sicherheit? - Minimalitätsprinzip für Informationen - Ebenenmodell zur Sicherheitskonzeption - Social Engineering-Angriffe - Programmierfehler - Verschlüsselung SSL/TLS/HTTPS - Authentifizierungsverfahren im Web, Benutzerkennungen - Absicherung der Systemplattform - Ältere Web-Anwendungen überprüfen - Vorgehensmodell bei neuen Web-Anwendungen - Microsofts STRIDE Model - Das Open Web Application Security Project (OWASP) * Formulardaten und allgemeine Datenübergaben via HTTP - Manipulierte Benutzereingaben - Strategien zur Verhinderung von Parametermanipulationen - Parametermanipulation über GET und POST - Datenvalidierung, Filterung - Client-Validierung und Server-Validierung - Header-Manipulation - Directory Traversal (Path Traversal) verhindern * Cross-Site Scripting (XSS) - Das Prinzip der Code-Injizierung - Gefahren durch Injizierung von HTML (Defacement) und Client-seitigen Skripten - Whitelist-Verfahren und Blacklist-Verfahren - Filterung von HTML-Tags - Sicherheit von JavaScript - DOM-based (Type 0) XSS Verwundbarkeit (local cross-site scripting) - Non-persistent (Type 1) Verwundbarkeit - Persistent (Type 2) Verwundbarkeit - Frame Injection * Authentifizierung und sichereres Session Management - Authentifizierung von Clients - Wie kommt der Zustand in das zustandslose HTTP? - URL-Rewriting, Cookies, Session-ID - Sichere Session-IDs - Referrer-Leck verhindern - Secure-Flag von Cookies, HttpOnly-Flag - Gültigkeitsdauer einer Session, SessionID erneuern, Session beenden - Nutzung von Tokens - IP-Adresse an die Session binden, Proxy-Architektur berücksichtigen - Sichere URL-Weiterleitungen (Redirects) - Cross-Site Request Forgery (CSRF) als verwandter Angriff * Datenbankgetriebene Webseiten - Was ist SQL-Injection? - Beispiele und Vermeidungsstrategien - First Order, Second Order SQL-Injection - Escape-Funktionen verschiedener Programmbibliotheken - Absichern durch Prepared Statements und OR-Mapper - Datenbanken sicher konfigurieren, Privilegien bei Abfragen/Änderungen - Allgemeine Probleme durch Remote-Command Execution * Absichern der Serverumgebung - Ungewollte Veröffentlichung interner Informationen - Kommentar einer Webseite - Informationen über Serverumgebung verschleiern - Einholen von Fingerprints über Web-Server, Betriebssystem unterbinden - Namenserweiterungen richtig setzen - Fehlerseiten - Logging, Monitoring und Patching - Rechtevergabe, Dateiberechtigungen für Verzeichnisse - Benutzerkennung für Web-Server und Datenbank * Verhinderung von Denial-of-Service Attacken - Welche automatisierten Angriffe gibt es? - Angreifbarkeit des Passworts - Rätselfrage - Mustererkennung (Captchas) - Blocken und Verzögern von Zugriffen * Verteidigung durch Web Shields und Web-Scanner - Web Application Firewalls, Web Shields - Schutz des Apache Web-Servers - Application-Level-Firewall mit Apache mod_security - Web Application Scanner (Web Scanner) - Code-Scanner und Tools für Penetration Tests - Kommerzielle und freie Tools im Überblick - Sicherheitstestplan entwickeln und Sicherheitstest durchführen - Rechtliche Aspekte von Web-Scannern * Weitere Sicherheitsbemerkungen - Obfuscation/Decompilierung von Java-Applets, Flash-/Silverlight-Anwendungen - HTML and JavaScript durch Google Caja absichern - Ajax Security, JavaScript Hijacking - Google als Hacking Tool - Persistent Cookies, Cached Web Content - Browser History - Umsetzung der Angriffsmethoden in der Praxis - Wie ein Hacker bei Web-Angriffen vorgeht

Vergleichen Sie diesen Kurs mit ähnlichen Kursen
Mehr ansehen