Secure Coding - Sicherheit von Webanwendungen in der Praxis (SCOB)

Grundlagen: OWASP Top 10 2017

• A1:2017-Injection
• A2:2017-Broken Authentication
• A3:2017-Sensitive Data Exposure
• A4:2017-XML External Entities (XXE)
• A5:2017-Broken Access Control
• A6:2017-Security Misconfiguration
• A7:2017-Cross-Site Scripting (XSS)
• A8:2017-Insecure Deserialization
• A9:2017-Using Components with Known Vulnerabilities
• A10:2017-Insufficient Logging&Monitoring

Webanwendungen:

• Border of Trust
• Code-Beispiele in Java, PHP und .NET
• Regeln der sicheren Programmierung
• Besonderheiten der gängigen Programmiersprachen
• Qualitätssicherung in der Entwicklung
• Secure Application Development Lifecycle als Unternehmensprozess

Werkzeuge:

Web Application Scanner, - Browser Plugins, Code Audit Tools, Burp Suite, Fiddler, OWASP ZAP, ZenMap, ausgewählte Werkzeuge aus Kali-Linux

Praktische Übungen:

• Angriffe gegen Laborsysteme
• Analyse und Angriffe gegen Beispielanwendungen