Das Web 2.0 und neue Programmiertechniken öffnen auch immer neue Angriffsflächen für Hacker. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zu diesem Thema einen Maßnahmenkatalog und Best Practices für Sicherheit von Webanwendungen herausgegeben. Dieses Seminar behandelt sowohl die BSI-Richtlinien als auch weiterführende Techniken, mit denen Entwickler ihre Web-Anwendungen und Server vor Cracking und Datendiebstahl schützen können. Teilnehmer lernen durch praxisnahe Anwendungsbeispiele sowohl Schwachstellen vor der Entwicklung aufzudecken und zu schließen, als auch bestehende Anwendungen vor Angriffen zu schützen.
Standorte und Zeitplan
Lage
Beginn
Dortmund
(Nordrhein-Westfalen, NRW)
Karte ansehen
Beginn
nach WahlAnmeldung möglich
Fragen & Antworten
Ihre Frage hinzufügen
Unsere Berater und andere Nutzer werden Ihnen antworten können
Wir überprüfen Ihre Frage, um sicherzustellen, dass sie an die Veröffentlichungsstandards anpasst. Nach Ihren Antworten haben wir auch entdeckt, dass Sie für diesen Kurs möglicherweise nicht anmelden können. Entweder das wegen Ihrer Ausbildung sein können oder Ihrer Lage und so weiter. Auf jedem Fall wird es besser wenn Sie es mit Ihrer Ausbildungsstätte erkären.
Vielen Dank!
Wir überprüfen Ihre Frage und werden diese in Kürze veröffentlichen.
Oder bevorzugen Sie, dass das Zentrum Sie kontaktiert?
Meinungen
Haben Sie diesen Kurs belegt? Teilen Sie Ihre Meinung
Inhalte
* Grundlagen sicherer Web-Anwendungen
- Was bedeutet Sicherheit?
- Minimalitätsprinzip für Informationen
- Ebenenmodell zur Sicherheitskonzeption
- Social Engineering-Angriffe
- Programmierfehler
- Verschlüsselung SSL/TLS/HTTPS
- Authentifizierungsverfahren im Web, Benutzerkennungen
- Absicherung der Systemplattform
- Ältere Web-Anwendungen überprüfen
- Vorgehensmodell bei neuen Web-Anwendungen
- Microsofts STRIDE Model
- Das Open Web Application Security Project (OWASP)
* Formulardaten und allgemeine Datenübergaben via HTTP
- Manipulierte Benutzereingaben
- Strategien zur Verhinderung von Parametermanipulationen
- Parametermanipulation über GET und POST
- Datenvalidierung, Filterung
- Client-Validierung und Server-Validierung
- Header-Manipulation
- Directory Traversal (Path Traversal) verhindern
* Cross-Site Scripting (XSS)
- Das Prinzip der Code-Injizierung
- Gefahren durch Injizierung von HTML (Defacement) und Client-seitigen Skripten
- Whitelist-Verfahren und Blacklist-Verfahren
- Filterung von HTML-Tags
- Sicherheit von JavaScript
- DOM-based (Type 0) XSS Verwundbarkeit (local cross-site scripting)
- Non-persistent (Type 1) Verwundbarkeit
- Persistent (Type 2) Verwundbarkeit
- Frame Injection
* Authentifizierung und sichereres Session Management
- Authentifizierung von Clients
- Wie kommt der Zustand in das zustandslose HTTP?
- URL-Rewriting, Cookies, Session-ID
- Sichere Session-IDs
- Referrer-Leck verhindern
- Secure-Flag von Cookies, HttpOnly-Flag
- Gültigkeitsdauer einer Session, SessionID erneuern, Session beenden
- Nutzung von Tokens
- IP-Adresse an die Session binden, Proxy-Architektur berücksichtigen
- Sichere URL-Weiterleitungen (Redirects)
- Cross-Site Request Forgery (CSRF) als verwandter Angriff
* Datenbankgetriebene Webseiten
- Was ist SQL-Injection?
- Beispiele und Vermeidungsstrategien
- First Order, Second Order SQL-Injection
- Escape-Funktionen verschiedener Programmbibliotheken
- Absichern durch Prepared Statements und OR-Mapper
- Datenbanken sicher konfigurieren, Privilegien bei Abfragen/Änderungen
- Allgemeine Probleme durch Remote-Command Execution
* Absichern der Serverumgebung
- Ungewollte Veröffentlichung interner Informationen
- Kommentar einer Webseite
- Informationen über Serverumgebung verschleiern
- Einholen von Fingerprints über Web-Server, Betriebssystem unterbinden
- Namenserweiterungen richtig setzen
- Fehlerseiten
- Logging, Monitoring und Patching
- Rechtevergabe, Dateiberechtigungen für Verzeichnisse
- Benutzerkennung für Web-Server und Datenbank
* Verhinderung von Denial-of-Service Attacken
- Welche automatisierten Angriffe gibt es?
- Angreifbarkeit des Passworts
- Rätselfrage
- Mustererkennung (Captchas)
- Blocken und Verzögern von Zugriffen
* Verteidigung durch Web Shields und Web-Scanner
- Web Application Firewalls, Web Shields
- Schutz des Apache Web-Servers
- Application-Level-Firewall mit Apache mod_security
- Web Application Scanner (Web Scanner)
- Code-Scanner und Tools für Penetration Tests
- Kommerzielle und freie Tools im Überblick
- Sicherheitstestplan entwickeln und Sicherheitstest durchführen
- Rechtliche Aspekte von Web-Scannern
* Weitere Sicherheitsbemerkungen
- Obfuscation/Decompilierung von Java-Applets, Flash-/Silverlight-Anwendungen
- HTML and JavaScript durch Google Caja absichern
- Ajax Security, JavaScript Hijacking
- Google als Hacking Tool
- Persistent Cookies, Cached Web Content
- Browser History
- Umsetzung der Angriffsmethoden in der Praxis
- Wie ein Hacker bei Web-Angriffen vorgeht