Application Security Schulungen in Graz

Dieser live-geleitete Live-Kurs in Graz (online oder vor Ort) richtet sich an Entwickler auf mittlerem bis fortgeschrittenem Niveau, die sichere Codierungspraktiken verstehen und anwenden, Sicherheitsrisiken in Software identifizieren sowie Abwehrmaßnahmen gegen Cyber-Bedrohungen implementieren möchten.

Am Ende dieses Trainings werden die Teilnehmer im Stande sein:

• Häufige Sicherheitslücken in Web- und Softwareanwendungen zu verstehen.
• Sicherheitsbedrohungen und Ausnutzungstechniken von Angreifern zu analysieren.
• Sichere Codierungspraktiken zur Minimierung von Sicherheitsrisiken umzusetzen.
• Sicherheitstest-Tools einzusetzen, um Schwachstellen zu identifizieren und zu beheben.

Der EC-Council Certified DevSecOps Engineer (ECDE) ist ein praxisorientierter Kurs, der Fachleuten die notwendigen Fähigkeiten vermittelt, um Sicherheit in den gesamten DevOps-Lebenszyklus zu integrieren und so eine sichere Softwareentwicklung von der Planung bis zur Bereitstellung zu ermöglichen.

Dieser instruktionsgeleitete Live-Training (online oder vor Ort) richtet sich an erfahrene Software- und DevOps-Fachkräfte, die Sicherheitspraktiken in CI/CD-Pipelines integrieren möchten, um eine sichere und konforme Codeauslieferung sicherzustellen.

Nach Abschluss dieses Trainings sind die Teilnehmer in der Lage:

• Die Prinzipien und Praktiken von DevSecOps zu verstehen.
• Jede Stufe der CI/CD-Pipeline mit automatisierten Tools zu sichern.
• Sichere Programmierpraktiken und Schwachstellenscanning umzusetzen.
• Sich durch praktische Labore und Wiederholungen auf die ECDE-Zertifizierung vorzubereiten.

Kursformat

• Interaktive Vorträge und Diskussionen.
• Praxisnahe Anwendung von DevSecOps-Tools in simulierten Pipelines.
• Geführte Übungen mit Fokus auf sichere Entwicklung und Bereitstellung.

Möglichkeiten zur Kursanpassung

• Um ein maßgeschneidertes Training für diesen Kurs anzufordern, das auf den Workflows oder der Toolkette Ihres Teams basiert, kontaktieren Sie uns bitte zur Vereinbarung.

Die Implementierung einer sicheren Netzwerk-Anwendung kann herausfordernd sein, selbst für Entwickler, die bereits verschiedene kryptografische Bausteine (wie Verschlüsselung und digitale Signaturen) verwendet haben. Um den Teilnehmern die Rolle und Anwendung dieser kryptografischen Grundelemente verständlich zu machen, wird zunächst eine fundierte Basis zu den Hauptanforderungen einer sicheren Kommunikation gelegt – dazu gehören sichere Bestätigung, Integrität, Vertraulichkeit, remote Identifikation und Anonymität. Dabei werden auch typische Probleme vorgestellt, die diese Anforderungen beeinträchtigen können, sowie praxisnahe Lösungen.

Da Kryptografie ein entscheidender Aspekt der Netzwerksicherheit ist, werden die wichtigsten Algorithmen in der symmetrischen Kryptografie, Hashing, asymmetrischer Kryptografie und Schlüsselvereinbarung behandelt. Statt tiefergehende mathematische Hintergründe zu erläutern, werden diese Elemente aus der Perspektive von Entwicklern diskutiert, wobei typische Anwendungsbeispiele und praktische Aspekte im Umgang mit Kryptografie – wie Public-Key-Infrastrukturen (PKI) – aufgezeigt werden. Zudem werden Sicherheitsprotokolle in verschiedenen Bereichen sicherer Kommunikation vorgestellt, mit einem vertieften Fokus auf den am weitesten verbreiteten Protokollfamilien IPsec und SSL/TLS.

Typische Schwachstellen in der Kryptografie werden sowohl für bestimmte kryptografische Algorithmen als auch für kryptografische Protokolle diskutiert, darunter BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding-Oracle-Attacken, Lucky Thirteen, POODLE und ähnliche Angriffe sowie die RSA-Zeitangriffe (Timing Attacks). In jedem Fall werden die praktischen Implikationen und möglichen Folgen dieser Probleme beschrieben, wiederum ohne tiefe mathematische Details.

Da XML-Technologie für den Datenaustausch vernetzter Anwendungen zentral ist, werden abschließend die Sicherheitsaspekte von XML behandelt. Dies umfasst die Nutzung von XML innerhalb von Webdiensten und SOAP-Nachrichten sowie Schutzmaßnahmen wie XML-Signatur und XML-Verschlüsselung – ebenso wie Schwachstellen dieser Schutzmechanismen und XML-spezifische Sicherheitsprobleme wie XML-Injection, XML External Entity (XXE)-Angriffe, XML-Bombs und XPath-Injection.

Die Teilnehmer dieses Kurses werden

• Grundkonzepte der Sicherheit, IT-Sicherheit und sicheren Programmierung verstehen
• Die Anforderungen an sichere Kommunikation nachvollziehen können
• Netzwerkangriffe und Abwehrmaßnahmen in verschiedenen OSI-Schichten kennenlernen
• Ein praktisches Verständnis von Kryptografie erwerben
• Wesentliche Sicherheitsprotokolle verstehen
• Neuere Angriffe auf Kryptosysteme nachvollziehen können
• Informationen zu einigen aktuellen, damit verbundenen Schwachstellen erhalten
• Sicherheitskonzepte von Webdiensten verstehen
• Quellen und weiterführende Literatur zu bewährten Praktiken der sicheren Programmierung kennenlernen

Zielgruppe

Entwickler, Fachkräfte

Das Schreiben von sicherem C- und C++-Code erfordert eine strenge Abwehr gegen böswillige Ausnutzung, Speicherbeschädigung und das Umgehen der Eingabevalidierung. Dieses Programm untersucht Schwachstellenmuster wie Pufferüberläufe, Use-after-Free, Integer-Überläufe und Typverwechslungen. Die Teilnehmenden wenden Richtlinien für sicheres Coden, statische Analysewerkzeuge und Techniken der defensiven Programmierung an, um Schwachstellen zu beseitigen, die Eingabebereinigung durchzusetzen und eine gehärtete Software zu entwickeln, die gegen Cyberangriffe widerstandsfähig ist.

Auch erfahrene Java-Entwickler beherrschen nicht unbedingt die verschiedenen von Java angebotenen Sicherheitsdienste und sind sich auch der für in Java geschriebene Webanwendungen relevanten Schwachstellen oft nicht bewusst.

Der Kurs – neben der Einführung in die Sicherheitsspezifika der Standard Java Edition – befasst sich mit Sicherheitsfragen der Java Enterprise Edition (JEE) und von Webservices. Der Diskussion spezifischer Dienste gehen Grundlagen der Kryptografie und sicherer Kommunikation voraus. Verschiedene Übungen behandeln deklarative und programmatische Sicherheits-Techniken in JEE, während sowohl die Sicherheitsmaßnahmen auf Transportschicht als auch End-to-End-Sicherheit von Webservices diskutiert werden. Die Nutzung aller Komponenten wird durch mehrere praktische Übungen veranschaulicht, bei denen Teilnehmer die besprochenen APIs und Tools selbst austesten können.

Der Kurs geht zudem durch und erklärt die häufigsten und schwerwiegendsten Programmierfehler der Java-Sprache und -Plattform sowie webbezogene Schwachstellen. Neben den typischen Fehlern, die von Java-Entwicklern begangen werden, umfassen die vorgestellten Sicherheitslücken sowohl languagespezifische Probleme als auch Probleme, die aus der Laufzeitumgebung resultieren. Alle Schwachstellen und relevanten Angriffe werden durch leicht verständliche Übungen demonstriert, denen empfohlene Coding-Richtlinien und mögliche Gegenmaßnahmen folgen.

Teilnehmer dieses Kurses werden

• Grundkonzepte der Sicherheit, IT-Sicherheit und sicheren Programmierens verstehen
• Webschwachstellen jenseits der OWASP Top Ten kennenlernen und wissen, wie man sie vermeidet
• Sicherheitskonzepte von Webservices verstehen
• Lernen, verschiedene Sicherheitsfunktionen der Java-Entwicklungsumgebung zu nutzen
• Ein praktisches Verständnis für Kryptografie entwickeln
• Sicherheitslösungen von Java EE verstehen
• Typische Programmierfehler und ihre Vermeidung kennenlernen
• Informationen über einige aktuelle Schwachstellen im Java-Framework erhalten
• Praktisches Wissen im Umgang mit Sicherheitstest-Tools erwerben
• Quellen und weiterführende Literatur zu sicheren Coding-Praktiken erhalten

Zielgruppe

Entwickler

Heute stehen zahlreiche Programmiersprachen zur Verfügung, um Code für die .NET- und ASP.NET-Frameworks zu kompilieren. Diese Umgebung bietet leistungsstarke Mittel für die Sicherheitsentwicklung, doch Entwickler müssen wissen, wie sie architekturbedingte und codierte Programmiertechniken anwenden, um die gewünschte Sicherheitsfunktionalität zu implementieren, Schwachstellen zu vermeiden oder deren Ausnutzung zu begrenzen.

Ziel dieses Kurses ist es, Entwicklern durch zahlreiche Praxisübungen beizubringen, wie sie nicht vertrauenswürdigen Code daran hindern können, privilegierte Aktionen auszuführen, Ressourcen durch starke Authentifizierung und Autorisierung schützen, Remote Procedure Calls bereitstellen, Sitzungen verwalten, unterschiedliche Implementierungen für bestimmte Funktionen einführen und vieles mehr.

Die Einführung in verschiedene Schwachstellen beginnt mit der Darstellung typischer Programmierfehler, die bei der Nutzung von .NET begangen werden. Die Diskussion über Schwachstellen in ASP.NET befasst sich zudem mit verschiedenen Umgebungseinstellungen und deren Auswirkungen. Schließlich behandelt das Thema ASP.NET-spezifische Schwachstellen nicht nur allgemeine Herausforderungen der Webanwendungssicherheit, sondern auch spezielle Probleme und Angriffsmethoden wie den Angriff auf ViewState oder String-Terminierungsangriffe.

Teilnehmer dieses Kurses werden

• Grundkonzepte von Sicherheit, IT-Sicherheit und sicherem Coding verstehen
• Web-Schwachstellen jenseits der OWASP Top Ten kennenlernen und wissen, wie man sie vermeidet
• Lernen, verschiedene Sicherheitsfunktionen der .NET-Entwicklungsumgebung zu nutzen
• Praktisches Wissen im Umgang mit Sicherheitstesttools erwerben
• Typische Programmierfehler kennenlernen und erfahren, wie man sie vermeidet
• Informationen über einige aktuelle Schwachstellen in .NET und ASP.NET erhalten
• Quellen und weiterführende Literatur zu sicheren Coding-Praktiken bekommen

Zielgruppe

Entwickler

Dieser Kurs vermittelt PHP-Entwicklern essentielle Fähigkeiten, um ihre Anwendungen widerstandsfähig gegen zeitgenössische Angriffe über das Internet zu machen. Web-Schwachstellen werden anhand von PHP-basierten Beispielen erläutert, die über die OWASP Top Ten hinausgehen. Dabei werden verschiedene Injektionsangriffe, Script-Injektionen, Angriffe auf die Session-Verwaltung von PHP, unsichere direkte Objektverweise (IDOR), Probleme mit Dateiuploads und viele weitere Themen behandelt. PHP-spezifische Schwachstellen werden in die standardmäßigen Kategorien fehlende oder unzureichende Eingabevalidierung, fehlerhafte Fehler- und Ausnahmeverarbeitung, unsachgemäßer Gebrauch von Sicherheitsfunktionen sowie zeit- und zustandsbezogene Probleme eingeteilt. Für diese letztere Kategorie werden Angriffe wie das Umgehen von open_basedir, Denial of Service durch magische Float-Zahlen oder Hash-Tabellen-Kollisionsangriffe besprochen. In allen Fällen setzen sich die Teilnehmer mit den wichtigsten Techniken und Funktionen auseinander, um die genannten Risiken zu minimieren.

Ein besonderer Fokus liegt auf der Client-seitigen Sicherheit, wobei Sicherheitsprobleme von JavaScript, Ajax und HTML5 behandelt werden. Zudem werden eine Reihe sicherheitsrelevanter PHP-Erweiterungen eingeführt, wie z. B. hash, mcrypt und OpenSSL für die Kryptographie sowie Ctype, ext/filter und HTML Purifier zur Eingabevalidierung. Die besten Hardening-Praktiken werden im Zusammenhang mit der PHP-Konfiguration (Einstellung von php.ini), Apache und dem Server im Allgemeinen vorgestellt. Abschließend wird ein Überblick über verschiedene Sicherheits-Testing-Tools und -Techniken gegeben, die Entwickler und Tester nutzen können, einschließlich Security Scannern, Penetration Testing und Exploit Paks, Sniffern, Proxy-Servern, Fuzzing-Tools und statischen Quellcode-Analysatoren.

Sowohl die Einführung in Schwachstellen als auch die Konfigurationspraktiken werden durch zahlreiche praktische Übungen unterstützt, die die Konsequenzen erfolgreicher Angriffe aufzeigen, den Einsatz von Minimierungstechniken veranschaulichen und die Anwendung verschiedener Erweiterungen und Tools einführen.

Teilnehmer, die diesen Kurs besuchen, werden

• Grundkonzepte der Sicherheit, IT-Sicherheit und des sicheren Programmierens verstehen
• Weiterführende Web-Schwachstellen jenseits der OWASP Top Ten kennen lernen und wissen, wie man diese vermeidet
• Client-seitige Schwachstellen und bewährte Praktiken für sicheres Programmieren erlernen
• Eine praktische understood von Kryptographie erwerben
• Lernen, verschiedene Sicherheitsfeatures von PHP zu verwenden
• Häufige Programmierfehler kennen lernen und wissen, wie man sie vermeidet
• Über aktuelle Schwachstellen des PHP-Frameworks informiert sein
• Praktische Kenntnisse im Umgang mit Security-Testing-Tools gewinnen
• Quellen und weiterführende Literatur zu Praktiken des sicheren Programmierens erhalten

Zielgruppe

Entwickler

Die kombinierte Schulung zu Microsoft SDL Core bietet einen Einblick in die sicheren Design-, Entwicklungs- und Testverfahren gemäß dem Secure Development Lifecycle (SDL) von Microsoft. Sie vermittelt eine Übersicht auf Anfängerniveau (Level 100) der grundlegenden Bausteine des SDL, gefolgt von Entwurfstechniken zur Erkennung und Behebung von Schwachstellen in frühen Phasen des Entwicklungsprozesses.

Im Fokus auf der Entwicklungsphase behandelt der Kurs typische sicherheitsrelevante Programmierfehler sowohl in verwaltetem als auch in nativem Code. Angreifertechniken werden für die besprochenen Sicherheitslücken vorgestellt, zusammen mit den zugehörigen Abwehrmaßnahmen. All dies wird anhand zahlreicher praktischer Übungen vermittelt, die den Teilnehmern spannende Einblicke in Live-Hacking-Szenarien ermöglichen. Die Einführung verschiedener Sicherheitstestmethoden wird durch Demonstrationen der Wirksamkeit unterschiedlicher Testing-Tools ergänzt. Die Teilnehmer können den Funktionsweise dieser Tools in praktischen Übungen erlernen, indem sie diese auf bereits besprochene schwachstellenbehafteten Code anwenden.

Teilnehmer dieser Schulung werden

Die grundlegenden Konzepte von Sicherheit, IT-Sicherheit und Secure Coding verstehen.

Sich mit den essenziellen Schritten des Microsoft Secure Development Lifecycle vertraut machen.

Praktiken für sicheres Design und sichere Entwicklung erlernen.

Grundsätze der sicheren Implementierung kennenlernen.

Die Methodik von Sicherheitstests verstehen.

• Quellen und weiterführende Literatur zu Secure Coding-Praktiken erhalten.

Zielgruppe

Entwickler, Manager

In diesem dozentengeleiteten Live-Kurs in Graz lernen die Teilnehmer, wie sie eine angemessene Sicherheitsstrategie formulieren können, um der DevOps-Sicherheits-Herausforderung zu begegnen.

Dieser Kurs in Graz zielt darauf ab, bei Folgendem zu helfen:

1. Entwickler dabei zu unterstützen, die Techniken des sicheren Codierens zu beherrschen
2. Softwaretester dabei zu unterstützen, die Sicherheit der Anwendung vor der Freigabe in der Produktionsumgebung zu testen
3. Softwarearchitekten dabei zu helfen, die Risiken im Zusammenhang mit Anwendungen zu verstehen
4. Teamleitern dabei zu unterstützen, die Sicherheitsgrundlagen für Entwickler festzulegen
5. Webmastern dabei zu helfen, Server so zu konfigurieren, dass Konfigurationsfehler vermieden werden

Dieser Kurs behandelt die Prinzipien des sicheren Programmierens in Java anhand der Testmethodik des Open Web Application Security Project (OWASP). Das Open Web Application Security Project ist eine Online-Community, die frei verfügbare Artikel, Methoden, Dokumentation, Tools und Technologien im Bereich der Webanwendungssicherheit bereitstellt.

Dieser Kurs behandelt die Konzepte und Prinzipien des sicheren Codings mit ASP.NET anhand der Testmethodik des Open Web Application Security Project (OWASP). OWASP ist eine Online-Community, die frei zugängliche Artikel, Methodiken, Dokumentation, Tools und Technologien im Bereich der Webanwendungssicherheit entwickelt.

Dieser Kurs erläutert die Sicherheitsfunktionen des .NET-Frameworks und zeigt, wie Webanwendungen gesichert werden können.