Application Security Schulungen in Graz

Diese Live-Schulung in Graz (online oder vor Ort) richtet sich an Entwickler auf mittlerem bis fortgeschrittenem Niveau, die sichere Programmierpraktiken verstehen und anwenden, Sicherheitsrisiken in Software erkennen und Schutzmaßnahmen gegen Cyber-Bedrohungen implementieren möchten.

Am Ende dieses Kurses werden die Teilnehmer in der Lage sein

• Häufige Sicherheitsschwachstellen in Web- und Softwareanwendungen zu verstehen.
• Sicherheitsbedrohungen zu analysieren und die von Angreifern verwendeten Techniken auszunutzen.
• Sichere Kodierungspraktiken implementieren, um Sicherheitsrisiken zu minimieren.
• Sicherheitstests zu verwenden, um Schwachstellen zu identifizieren und zu beheben.

EC-Council Certified DevSecOps Engineer (ECDE) ist ein praktischer Kurs, der Fachleuten die Fähigkeiten vermittelt, Sicherheit über den gesamten DevOps-Lebenszyklus zu integrieren und sicherer Softwareentwicklung von Planung bis Deployment zu ermöglichen.

Dieser durch Trainer geführte Live-Kurs (online oder vor Ort) richtet sich an Fachleute der Software- und DevOps mit fortgeschrittenem Niveau, die Sicherheitspraktiken in CI/CD-Pipelines integrieren möchten, um sicher und konformen Code zu liefern.

Am Ende des Kurses können die Teilnehmer Folgendes:

• Die Prinzipien und Praktiken von DevSecOps verstehen.
• Jede Phase der CI/CD-Pipeline mit automatisierten Werkzeugen sichern.
• Sichere Codierungspraktiken und Sicherheitsprüfungen implementieren.
• Mit praktischen Laboren und Wiederholung auf die ECDE-Zertifizierung vorbereiten.

Kursformat

• Interaktive Vorlesungen und Diskussionen.
• Praxisorientierte Nutzung von DevSecOps-Werkzeugen in simulierten Pipelines.
• Führung durch Übungen, die sich auf sichere Entwicklung und Bereitstellung konzentrieren.

Kursanpassungsmöglichkeiten

• Um einen angepassten Kurs anhand der Arbeitsabläufe oder Werkzeugketten Ihres Teams zu beantragen, kontaktieren Sie uns bitte zur Absprache.

Android ist eine offene Plattform für mobile Geräte wie Handys und Tablets. Sie bietet eine Vielzahl an Sicherheitsfunktionen, um das Entwickeln sicherer Software zu erleichtern; besitzt jedoch auch bestimmte Sicherheitselemente nicht, die in anderen mobilen Plattformen vorhanden sind. Dieses Kurs gibt einen umfassenden Überblick über diese Funktionen und weist auf die kritischsten Mängel hin, die man bei der zugrunde liegenden Linux, dem Dateisystem und der Umgebung im Allgemeinen beachten sollte, sowie bezüglich der Verwendung von Berechtigungen und anderer Komponenten der Android-Softwareentwicklung.

Typische Sicherheitsfallstricke und Schwachstellen werden sowohl für nativen Code als auch für Java-Anwendungen beschrieben, zusammen mit Empfehlungen und Best Practices, um diese zu vermeiden oder abzumildern. In vielen diskutierten Fällen werden realitätsnahe Beispiele und Fallstudien zur Unterstützung bereitgestellt. Schließlich geben wir einen Überblick über die Nutzung von Sicherheitstestwerkzeugen, um mögliche Programmierfehler aufzudecken.

Teilnehmer dieses Kurses werden

• Grundlagen der Sicherheit, IT-Sicherheit und sichere Codierung verstehen
• Die Sicherheitslösungen auf Android kennenlernen
• Lernen, wie man die verschiedenen Sicherheitsfunktionen der Android-Plattform verwendet
• Informationen über aktuelle Schwachstellen in Java auf Android erhalten
• Typische Codierungsfehler und wie man sie vermeiden kann verstehen
• Die Sicherheitsfallstricke von nativem Code auf Android verstehen
• Die schwerwiegenden Konsequenzen ungesicherter Pufferverarbeitung in nativen Codes realisieren
• Architektur- und Schutztechniken sowie deren Schwächen verstehen
• Quellen und weitere Lektüren über sichere Codierungspraktiken erhalten

Zielgruppe

Fachkräfte

Für die Kompilierung von Code in .NET- und ASP.NET-Frameworks steht heute eine Reihe von Programmiersprachen zur Verfügung. Die Umgebung bietet leistungsstarke Mittel für die Sicherheitsentwicklung, aber die Entwickler sollten wissen, wie sie die Programmiertechniken auf Architektur- und Kodierungsebene anwenden müssen, um die gewünschte Sicherheitsfunktionalität zu implementieren und Schwachstellen zu vermeiden oder deren Ausnutzung einzuschränken.

Ziel dieses Kurses ist es, Entwicklern anhand zahlreicher praktischer Übungen beizubringen, wie man verhindert, dass nicht vertrauenswürdiger Code privilegierte Aktionen ausführt, wie man Ressourcen durch starke Authentifizierung und Autorisierung schützt, wie man Remote-Prozeduraufrufe bereitstellt, wie man Sitzungen handhabt, wie man verschiedene Implementierungen für bestimmte Funktionen einführt und vieles mehr. Ein besonderer Abschnitt ist der Konfiguration und Härtung der .NET- und ASP.NET-Umgebung für die Sicherheit gewidmet.

Eine kurze Einführung in die Grundlagen der Kryptographie bietet eine gemeinsame praktische Basis für das Verständnis des Zwecks und der Funktionsweise verschiedener Algorithmen, auf deren Grundlage der Kurs die kryptographischen Funktionen vorstellt, die in .NET verwendet werden können. Darauf folgt die Vorstellung einiger aktueller kryptographischer Schwachstellen, die sowohl mit bestimmten kryptographischen Algorithmen und kryptographischen Protokollen als auch mit Seitenkanalangriffen zusammenhängen.

Die Einführung in die verschiedenen Schwachstellen beginnt mit der Vorstellung einiger typischer Programmierprobleme, die bei der Verwendung von .NET auftreten, einschließlich der Fehlerkategorien Eingabevalidierung, Fehlerbehandlung oder Race Conditions. Ein besonderer Schwerpunkt wird auf die XML-Sicherheit gelegt, während das Thema der ASP.NET-spezifischen Schwachstellen einige spezielle Probleme und Angriffsmethoden behandelt: wie den Angriff auf den ViewState oder die String-Termination-Attacken.

Teilnehmer, die diesen Kurs besuchen, werden

• Grundlegende Konzepte von Sicherheit, IT-Sicherheit und sicherem Coding verstehen
• lernen, verschiedene Sicherheitsfunktionen der .NET-Entwicklungsumgebung zu nutzen
• ein praktisches Verständnis von Kryptographie haben
• einige aktuelle Angriffe auf Kryptosysteme verstehen
• Informationen über einige aktuelle Sicherheitslücken in .NET und ASP.NET erhalten
• Lernen Sie typische Kodierungsfehler kennen und erfahren Sie, wie Sie diese vermeiden können
• Praktische Kenntnisse in der Verwendung von Sicherheitstests
• Sie erhalten Quellen und weiterführende Lektüre zu sicheren Kodierungspraktiken.

Zielgruppe

Entwickler

Die Implementierung einer sicheren vernetzten Anwendung kann schwierig sein, selbst für Entwickler, die bereits verschiedene kryptographische Bausteine (wie Verschlüsselung und digitale Signaturen) verwendet haben. Um den Teilnehmern die Rolle und die Verwendung dieser kryptografischen Primitive verständlich zu machen, wird zunächst eine solide Grundlage über die wichtigsten Anforderungen an eine sichere Kommunikation - sichere Bestätigung, Integrität, Vertraulichkeit, Fernidentifizierung und Anonymität - vermittelt, wobei auch die typischen Probleme, die diese Anforderungen beeinträchtigen können, zusammen mit Lösungen aus der Praxis vorgestellt werden.

Da ein kritischer Aspekt der Netzsicherheit die Kryptographie ist, werden auch die wichtigsten kryptographischen Algorithmen der symmetrischen Kryptographie, des Hashings, der asymmetrischen Kryptographie und der Schlüsselvereinbarung behandelt. Anstatt einen detaillierten mathematischen Hintergrund zu präsentieren, werden diese Elemente aus der Perspektive eines Entwicklers erörtert, wobei typische Anwendungsfälle und praktische Überlegungen im Zusammenhang mit dem Einsatz von Kryptographie, wie z. B. Public-Key-Infrastrukturen, aufgezeigt werden. Es werden Sicherheitsprotokolle in vielen Bereichen der sicheren Kommunikation vorgestellt, wobei die am weitesten verbreiteten Protokollfamilien wie IPSEC und SSL/TLS eingehend diskutiert werden.

Typische Kryptoschwachstellen werden sowohl im Zusammenhang mit bestimmten Kryptoalgorithmen als auch mit kryptografischen Protokollen erörtert, z. B. BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding Orakel, Lucky Thirteen, POODLE und ähnliche, sowie der RSA-Zeitangriff. In jedem Fall werden die praktischen Erwägungen und die möglichen Folgen für jedes Problem beschrieben, wiederum ohne auf die mathematischen Details einzugehen.

Da die XML-Technologie für den Datenaustausch von vernetzten Anwendungen von zentraler Bedeutung ist, werden schließlich die Sicherheitsaspekte von XML beschrieben. Dazu gehört die Verwendung von XML in Webdiensten und SOAP-Nachrichten neben Schutzmaßnahmen wie XML-Signatur und XML-Verschlüsselung - sowie Schwachstellen in diesen Schutzmaßnahmen und XML-spezifische Sicherheitsprobleme wie XML-Injektion, XML-External-Entity (XXE)-Angriffe, XML-Bomben und XPath-Injektion.

Die Teilnehmer an diesem Kurs werden

• Grundlegende Konzepte der Sicherheit, der IT-Sicherheit und der sicheren Kodierung verstehen
• die Anforderungen an eine sichere Kommunikation verstehen
• Kenntnisse über Netzwerkangriffe und Verteidigungsmaßnahmen auf verschiedenen OSI-Schichten
• ein praktisches Verständnis von Kryptographie haben
• Verständnis der wichtigsten Sicherheitsprotokolle
• einige aktuelle Angriffe auf Kryptosysteme zu verstehen
• Informationen über einige aktuelle Sicherheitslücken erhalten
• Verstehen der Sicherheitskonzepte von Webdiensten
• Quellen und weiterführende Lektüre zu sicheren Kodierungsverfahren erhalten

Zielgruppe

Entwickler, Fachleute

Um heterogenen Entwicklungsgruppen, die bei ihrer täglichen Arbeit verschiedene Plattformen gleichzeitig nutzen, bestmöglich zu dienen, haben wir verschiedene Themen in einem kombinierten Kurs zusammengefasst, der verschiedene Themen der sicheren Programmierung auf didaktische Weise in einer einzigen Schulungsveranstaltung präsentiert. Dieser Kurs kombiniert C/C++- und Java-Plattformsicherheit, um ein umfassendes, plattformübergreifendes Fachwissen zur sicheren Programmierung zu vermitteln.

In Bezug auf C/C++ werden gängige Sicherheitsschwachstellen besprochen, unterstützt durch praktische Übungen zu den Angriffsmethoden, die diese Schwachstellen ausnutzen, wobei der Schwerpunkt auf den Abschwächungstechniken liegt, die angewandt werden können, um das Auftreten dieser gefährlichen Bugs zu verhindern, sie vor der Markteinführung zu entdecken oder ihre Ausnutzung zu verhindern.

Die Sicherheitskomponenten und -dienste von Java werden diskutiert, indem die verschiedenen APIs und Tools anhand einer Reihe praktischer Übungen vorgestellt werden, bei denen die Teilnehmer praktische Erfahrungen mit deren Verwendung sammeln können. Der Kurs behandelt auch Sicherheitsaspekte von Webdiensten und die damit verbundenen Java-Dienste, die zur Verhinderung der schlimmsten Bedrohungen von internetbasierten Diensten eingesetzt werden können. Schließlich werden web- und Java-bezogene Sicherheitsschwachstellen durch leicht verständliche Übungen demonstriert, die nicht nur die Ursache der Probleme aufzeigen, sondern auch die Angriffsmethoden zusammen mit den empfohlenen Entschärfungs- und Codierungstechniken demonstrieren, um die damit verbundenen Sicherheitsprobleme zu vermeiden.

Die Teilnehmer an diesem Kurs werden

• Grundlegende Konzepte der Sicherheit, der IT-Sicherheit und der sicheren Kodierung verstehen
• Web-Schwachstellen jenseits der OWASP Top Ten kennen und wissen, wie man sie vermeidet
• Client-seitige Schwachstellen und sichere Kodierungspraktiken kennen lernen
• Verschiedene Sicherheitsfunktionen der Java-Entwicklungsumgebung nutzen können
• Praktisches Verständnis der Kryptographie
• Erkennen der schwerwiegenden Folgen eines unsicheren Umgangs mit Puffern
• Verstehen der architektonischen Schutztechniken und ihrer Schwächen
• typische Programmierfehler kennen und wissen, wie man sie vermeidet
• über aktuelle Sicherheitslücken in verschiedenen Plattformen, Frameworks und Bibliotheken informiert sein
• Quellen und weiterführende Lektüre zu sicheren Kodierungspraktiken erhalten

Zielgruppe

Entwickler

Die Umstellung auf die Cloud bringt für Unternehmen und Einzelpersonen immense Vorteile in Bezug auf Effizienz und Kosten mit sich. Was die Sicherheit betrifft, so sind die Auswirkungen recht unterschiedlich, aber es herrscht die allgemeine Auffassung, dass die Nutzung von Cloud-Diensten sich positiv auf die Sicherheit auswirkt. Allerdings gehen die Meinungen auch bei der Frage, wer für die Sicherheit von Cloud-Ressourcen verantwortlich ist, oft auseinander.

Unter Berücksichtigung von IaaS, PaaS und SaaS wird zunächst die Sicherheit der Infrastruktur erörtert: Härtungs- und Konfigurationsfragen sowie verschiedene Lösungen für die Authentifizierung und Autorisierung sowie das Identitätsmanagement, das im Mittelpunkt jeder Sicherheitsarchitektur stehen sollte. Es folgen einige Grundlagen zu rechtlichen und vertraglichen Fragen, nämlich wie Vertrauen in der Cloud aufgebaut und geregelt wird.

Die Reise durch die Cloud-Sicherheit geht weiter mit dem Verständnis von Cloud-spezifischen Bedrohungen und den Zielen und Motivationen der Angreifer sowie typischen Angriffsschritten gegen Cloud-Lösungen. Ein besonderer Schwerpunkt liegt auch auf der Prüfung der Cloud und der Sicherheitsbewertung von Cloud-Lösungen auf allen Ebenen, einschließlich Penetrationstests und Schwachstellenanalyse.

Der Schwerpunkt des Kurses liegt auf Fragen der Anwendungssicherheit, wobei es sowohl um die Datensicherheit als auch um die Sicherheit der Anwendungen selbst geht. Vom Standpunkt der Anwendungssicherheit aus betrachtet, unterscheidet sich die Sicherheit von Cloud Computing nicht wesentlich von der allgemeinen Softwaresicherheit, und daher sind grundsätzlich alle in OWASP aufgeführten Schwachstellen auch in diesem Bereich relevant. Es ist die Menge der Bedrohungen und Risiken, die den Unterschied ausmacht, und so wird die Schulung mit der Aufzählung verschiedener Cloud-spezifischer Angriffsvektoren abgeschlossen, die mit den zuvor besprochenen Schwachstellen zusammenhängen.

Die Teilnehmer an diesem Kurs werden

• Grundlegende Konzepte der Sicherheit, der IT-Sicherheit und der sicheren Kodierung verstehen
• die wichtigsten Bedrohungen und Risiken im Cloud-Bereich verstehen
• Sie lernen elementare Cloud-Sicherheitslösungen kennen
• Informationen über das Vertrauen und die Governance in Bezug auf die Cloud erhalten
• ein praktisches Verständnis von Kryptographie haben
• Umfassendes Wissen über Anwendungssicherheit in der Cloud
• Lernen Sie Web-Schwachstellen über die OWASP Top Ten hinaus kennen und wissen Sie, wie Sie diese vermeiden können
• die Herausforderungen bei der Prüfung und Bewertung von Cloud-Systemen im Hinblick auf die Sicherheit zu verstehen
• Lernen Sie, wie Sie die Cloud-Umgebung und -Infrastruktur sichern können
• Sie erhalten Quellen und weiterführende Informationen zu sicheren Kodierungspraktiken.

Zielgruppe

Entwickler, Manager, Fachleute

In diesem dreitägigen Kurs werden die Grundlagen des Sicherns des C / C++ Codes gegen böswillige Benutzer behandelt, die möglicherweise viele Sicherheitslücken im Code mit Speicherverwaltung und Eingabehandhabung ausnutzen. In diesem Kurs werden die Grundlagen des Schreibens von sicherem Code behandelt.

Selbst erfahrene Java-Programmierer beherrschen nicht unbedingt die verschiedenen Sicherheitsdienste, die Java bietet, und kennen auch nicht die verschiedenen Schwachstellen, die für in Java geschriebene Webanwendungen relevant sind.

Der Kurs behandelt - neben der Einführung in die Sicherheitskomponenten der Standard Java Edition - Sicherheitsfragen der Java Enterprise Edition (JEE) und Web Services. Der Diskussion von spezifischen Diensten werden die Grundlagen der Kryptographie und der sicheren Kommunikation vorangestellt. Verschiedene Übungen befassen sich mit deklarativen und programmatischen Sicherheitstechniken in JEE, während sowohl die Transportschicht als auch die Ende-zu-Ende-Sicherheit von Webservices diskutiert wird. Die Verwendung aller Komponenten wird in mehreren praktischen Übungen vorgestellt, in denen die Teilnehmer die besprochenen APIs und Tools selbst ausprobieren können.

Im Kurs werden auch die häufigsten und schwerwiegendsten Programmierfehler der Java-Sprache und -Plattform sowie webbezogene Schwachstellen durchgesprochen und erläutert. Neben den typischen Fehlern, die von Java-Programmierern begangen werden, umfassen die vorgestellten Sicherheitslücken sowohl sprachspezifische Probleme als auch solche, die sich aus der Laufzeitumgebung ergeben. Alle Schwachstellen und die entsprechenden Angriffe werden anhand von leicht verständlichen Übungen demonstriert, gefolgt von den empfohlenen Codierungsrichtlinien und den möglichen Entschärfungstechniken.

Die Teilnehmer an diesem Kurs werden

• Grundlegende Konzepte der Sicherheit, der IT-Sicherheit und der sicheren Kodierung verstehen
• lernen Web-Schwachstellen über die OWASP Top Ten hinaus kennen und wissen, wie man sie vermeidet
• die Sicherheitskonzepte von Webdiensten verstehen
• Verschiedene Sicherheitsfunktionen der Java-Entwicklungsumgebung nutzen können
• Praktisches Verständnis der Kryptographie
• Sicherheitslösungen von Java EE verstehen
• Typische Programmierfehler kennen und wissen, wie man sie vermeiden kann
• Informationen über einige aktuelle Schwachstellen im Java Framework erhalten
• Praktische Kenntnisse in der Verwendung von Sicherheitstests erhalten
• Sie erhalten Quellen und weiterführende Literatur zu sicheren Programmierpraktiken.

Zielgruppe

Entwickler

Selbst erfahrene Programmierer beherrschen nicht unbedingt die verschiedenen Sicherheitsdienste, die von ihren Entwicklungsplattformen angeboten werden, und sind sich auch der verschiedenen Schwachstellen, die für ihre Entwicklungen relevant sind, nicht bewusst. Dieser Kurs richtet sich an Entwickler, die sowohl Java als auch PHP verwenden, und vermittelt ihnen die grundlegenden Fähigkeiten, die erforderlich sind, um ihre Anwendungen gegen aktuelle Angriffe über das Internet resistent zu machen.

Die Ebenen der Java-Sicherheitsarchitektur werden durchlaufen, indem Zugriffskontrolle, Authentifizierung und Autorisierung, sichere Kommunikation und verschiedene kryptografische Funktionen behandelt werden. Es werden auch verschiedene APIs vorgestellt, die zur Sicherung Ihres Codes in PHP verwendet werden können, wie OpenSSL für Kryptographie oder HTML Purifier für die Eingabevalidierung. Auf der Serverseite werden die besten Praktiken für die Absicherung und Konfiguration des Betriebssystems, des Web-Containers, des Dateisystems, des SQL-Servers und des PHP-Servers selbst vorgestellt, während ein besonderer Schwerpunkt auf die clientseitige Sicherheit durch Sicherheitsfragen von JavaScript, Ajax und HTML5 gelegt wird.

Allgemeine Web-Schwachstellen werden anhand von Beispielen erörtert, die sich an den OWASPTop Ten orientieren und verschiedene Injektionsangriffe, Skriptinjektionen, Angriffe auf die Sitzungsverwaltung, unsichere direkte Objektreferenzen, Probleme beim Hochladen von Dateien und viele andere aufzeigen. Die verschiedenen Java- und PHP-spezifischen Sprachprobleme und Probleme, die sich aus der Laufzeitumgebung ergeben, werden gruppiert in die Standard-Schwachstellenarten fehlende oder unsachgemäße Eingabevalidierung, unsachgemäße Verwendung von Sicherheitsfunktionen, fehlerhafte Fehler- und Ausnahmebehandlung, zeit- und zustandsbezogene Probleme, Codequalitätsprobleme und Schwachstellen im Zusammenhang mit mobilem Code vorgestellt.

Die Teilnehmer können die besprochenen APIs, Tools und die Auswirkungen von Konfigurationen selbst ausprobieren, während die Vorstellung der Schwachstellen durch eine Reihe praktischer Übungen unterstützt wird, in denen die Folgen erfolgreicher Angriffe demonstriert werden und gezeigt wird, wie man die Fehler behebt und Techniken zur Schadensbegrenzung anwendet, sowie die Verwendung verschiedener Erweiterungen und Tools vorgestellt wird.

Die Teilnehmer an diesem Kurs werden

• Grundlegende Konzepte der Sicherheit, der IT-Sicherheit und der sicheren Kodierung verstehen
• Sie lernen Web-Schwachstellen jenseits der OWASP Top Ten kennen und wissen, wie sie zu vermeiden sind.
• Erlernen von clientseitigen Schwachstellen und sicheren Programmierpraktiken
• Verschiedene Sicherheitsfunktionen der Java-Entwicklungsumgebung nutzen können
• Praktisches Verständnis der Kryptographie
• Verschiedene Sicherheitsfunktionen von PHP nutzen können
• Verstehen der Sicherheitskonzepte von Webdiensten
• Praktische Kenntnisse in der Verwendung von Sicherheitstools
• Lernen Sie typische Programmierfehler kennen und wie Sie diese vermeiden können
• über aktuelle Schwachstellen in Java und PHP Frameworks und Bibliotheken informiert sein
• Quellen und weiterführende Lektüre zu sicheren Kodierungspraktiken

Zielgruppe

Entwickler

Beschreibung

Die Java Sprache und die Laufzeitumgebung (Runtime Environment, JRE) wurden so entwickelt, dass sie frei von den problematischsten Sicherheitslücken sind, die in anderen Sprachen wie C / C++ . Softwareentwickler und -architekten sollten jedoch nicht nur wissen, wie sie die verschiedenen Sicherheitsfunktionen der Java Umgebung nutzen (positive Sicherheit), sondern auch die zahlreichen Schwachstellen kennen, die für die Java Entwicklung noch relevant sind (negative Sicherheit).

Der Einführung von Sicherheitsdiensten geht ein kurzer Überblick über die Grundlagen der Kryptographie voraus, der eine gemeinsame Grundlage für das Verständnis des Zwecks und der Funktionsweise der jeweiligen Komponenten bietet. Die Verwendung dieser Komponenten wird in mehreren praktischen Übungen vorgestellt, in denen die Teilnehmer die diskutierten APIs selbst ausprobieren können.

Der Kurs geht auch durch und erklärt die häufigsten und schwerwiegendsten Programmierfehler der Java Sprache und -Plattform, wobei sowohl die typischen Fehler von Java Programmierern als auch die sprach- und umgebungsspezifischen Probleme behandelt werden. Alle Sicherheitslücken und die relevanten Angriffe werden anhand von leicht verständlichen Übungen demonstriert, gefolgt von den empfohlenen Codierungsrichtlinien und den möglichen Abhilfemaßnahmen.

Teilnehmer an diesem Kurs werden

• Grundlegende Konzepte für Sicherheit, IT-Sicherheit und sichere Codierung verstehen
• Informieren Sie sich über Web-Schwachstellen, die über OWASP Top Ten hinausgehen, und lernen Sie, diese zu vermeiden
• Erfahren Sie, wie Sie verschiedene Sicherheitsfunktionen der Java Entwicklungsumgebung verwenden
• Ein praktisches Verständnis der Kryptographie haben
• Erfahren Sie mehr über typische Codierungsfehler und wie Sie diese vermeiden können
• Informieren Sie sich über aktuelle Sicherheitslücken im Java Framework
• Holen Sie sich Quellen und weitere Informationen zu sicheren Codierungsmethoden

Publikum

Entwickler

Beschreibung

Über solide Kenntnisse in der Verwendung von Java-Komponenten hinaus ist es selbst für erfahrene Java-Programmierer unerlässlich, ein tiefes Wissen über webbezogene Schwachstellen sowohl auf der Server- als auch auf der Client-Seite, die verschiedenen Schwachstellen, die für in Java geschriebene Webanwendungen relevant sind, und die Folgen der verschiedenen Risiken zu besitzen.

Allgemeine webbasierte Schwachstellen werden durch die Darstellung der relevanten Angriffe demonstriert, während die empfohlenen Kodierungstechniken und Entschärfungsmethoden im Kontext von Java mit dem wichtigsten Ziel, die damit verbundenen Probleme zu vermeiden, erläutert werden. Darüber hinaus wird ein besonderer Schwerpunkt auf die client-seitige Sicherheit gelegt, wobei Sicherheitsfragen von JavaScript, Ajax und HTML5 behandelt werden.

Der Kurs führt in die Sicherheitskomponenten der Standard Java-Edition ein, der die Grundlagen der Kryptographie vorangestellt werden, um eine gemeinsame Basis für das Verständnis des Zwecks und der Funktionsweise der anwendbaren Komponenten zu schaffen. Die Verwendung aller Komponenten wird anhand praktischer Übungen vorgestellt, bei denen die Teilnehmer die besprochenen APIs und Werkzeuge selbst ausprobieren können.

Schließlich werden die häufigsten und schwerwiegendsten Programmierfehler der Java-Sprache und -Plattform erläutert. Neben den typischen Fehlern, die von Java-Programmierern begangen werden, umfassen die vorgestellten Sicherheitslücken sowohl sprachspezifische Probleme als auch solche, die sich aus der Laufzeitumgebung ergeben. Alle Schwachstellen und die entsprechenden Angriffe werden durch leicht verständliche Übungen demonstriert, gefolgt von den empfohlenen Kodierungsrichtlinien und den möglichen Abhilfemaßnahmen.

Die Teilnehmer an diesem Kurs werden

• Grundlegende Konzepte der Sicherheit, der IT-Sicherheit und der sicheren Kodierung verstehen
• Sie lernen Web-Schwachstellen über die OWASP Top Ten hinaus kennen und wissen, wie sie zu vermeiden sind.
• Sie lernen clientseitige Schwachstellen und sichere Kodierungspraktiken kennen
• Verschiedene Sicherheitsfunktionen der Java-Entwicklungsumgebung nutzen können
• Ein praktisches Verständnis für Kryptographie haben
• Lernen Sie typische Programmierfehler kennen und wie Sie diese vermeiden können
• Informationen über einige aktuelle Sicherheitslücken im Java-Framework erhalten
• Praktische Kenntnisse im Umgang mit Sicherheitstests
• Quellen und weiterführende Lektüre zu sicheren Programmierpraktiken erhalten

Zielgruppe

Entwickler

Teilnehmer, die dieses Seminar in Graz besuchen, werden

• Grundkonzepte von Sicherheit, IT-Sicherheit und sicheren Codierungspraktiken verstehen
• Websicherheitsanfälligkeiten jenseits der OWASP Top Ten kennenlernen und wissen, wie man sie vermeidet
• Klientside-Anfälligkeiten und sichere Kodierungspraktiken lernen
• Verschiedene Sicherheitsfunktionen des Java-Entwicklungsumgebung nutzen lernen
• Ein praktisches Verständnis von Kryptographie erlangen
• Sicherheitskonzepte von Webdiensten verstehen
• Sicherheitslösungen von Java EE verstehen
• Typische Programmierfehler und wie man sie vermeidet kennenlernen
• Auf aktuelle Sicherheitsanfälligkeiten im Java-Framework aufgeklärt werden
• Praktisches Wissen in der Nutzung von Sicherheitstestwerkzeugen erwerben
• Quellen und weiterführende Lektüre zu sicheren Codierungspraktiken erhalten

Als Entwickler ist es Ihre Pflicht, kugelsicheren Code zu schreiben.

Was wäre, wenn wir Ihnen sagen würden, dass der Code, den Sie in Ihrer gesamten Karriere geschrieben haben, trotz all Ihrer Bemühungen voller Schwachstellen ist, von denen Sie nicht wussten, dass sie existieren? Was wäre, wenn, während Sie dies lesen, Hacker versuchen würden, in Ihren Code einzubrechen? Wie wahrscheinlich wäre es, dass sie Erfolg hätten? Was wäre, wenn sie Ihre Datenbank stehlen und sie auf dem Schwarzmarkt verkaufen könnten?

Dieser Kurs zur Sicherheit von Webanwendungen wird Ihren Blick auf den Code verändern. Ein praktisches Training, in dem wir Ihnen alle Tricks der Angreifer und deren Entschärfung beibringen, so dass Sie nichts anderes als den Wunsch verspüren, mehr zu wissen.

Sie haben die Wahl, die Nase vorn zu haben und als Vorreiter im Kampf gegen die Cyberkriminalität gesehen zu werden.

Die Teilnehmer werden:

• Grundlegende Sicherheitskonzepte, IT-Sicherheit und sichere Kodierung verstehen
• Sie lernen Web-Schwachstellen jenseits der OWASP Top Ten kennen und wissen, wie sie zu vermeiden sind.
• Sie lernen clientseitige Schwachstellen und sichere Kodierungspraktiken kennen
• Erfahren Sie mehr über Node.js Sicherheit
• Wissen über MongoDB-Sicherheit
• Praktisches Verständnis von Kryptographie
• Verstehen der wichtigsten Sicherheitsprotokolle
• Verstehen von Sicherheitskonzepten für Webdienste
• Lernen Sie die Sicherheit von JSON kennen
• Praktische Kenntnisse in der Anwendung von Sicherheitstesttechniken und -tools
• lernen, wie man mit Schwachstellen in den verwendeten Plattformen, Frameworks und Bibliotheken umgeht
• Quellen und weiterführende Lektüre zu sicheren Programmierpraktiken

Zur Kompilierung von Code für .NET- und ASP.NET-Frameworks stehen heute eine Reihe von Programmiersprachen zur Verfügung. Die Umgebung bietet leistungsstarke Mittel für die Sicherheitsentwicklung. Entwickler sollten jedoch wissen, wie sie die Programmiertechniken auf Architektur- und Codierungsebene anwenden, um die gewünschte Sicherheitsfunktionalität zu implementieren und Schwachstellen zu vermeiden oder deren Ausnutzung zu begrenzen.

Ziel dieses Kurses ist es, Entwicklern anhand zahlreicher praktischer Übungen beizubringen, wie sie verhindern, dass nicht vertrauenswürdiger Code privilegierte Aktionen ausführt, Ressourcen durch starke Authentifizierung und Autorisierung schützen, Remoteprozeduraufrufe bereitstellen, Sitzungen verarbeiten, verschiedene Implementierungen für bestimmte Funktionen einführen und vieles mehr Mehr.

Die Einführung verschiedener Sicherheitsanfälligkeiten beginnt mit der Darstellung einiger typischer Programmierprobleme, die bei der Verwendung von .NET auftreten. Die Diskussion der Sicherheitsanfälligkeiten von ASP.NET befasst sich auch mit verschiedenen Umgebungseinstellungen und deren Auswirkungen. Schließlich befasst sich das Thema ASP.NET-spezifischer Sicherheitslücken nicht nur mit einigen allgemeinen Sicherheitsherausforderungen für Webanwendungen, sondern auch mit speziellen Problemen und Angriffsmethoden wie dem Angriff auf den ViewState oder den Angriffen auf die Beendigung von Zeichenfolgen.

Teilnehmer an diesem Kurs werden

• Grundlegende Konzepte für Sicherheit, IT-Sicherheit und sichere Codierung verstehen
• Informieren Sie sich über Web-Schwachstellen, die über OWASP Top Ten hinausgehen, und lernen Sie, diese zu vermeiden
• Erfahren Sie, wie Sie verschiedene Sicherheitsfunktionen der .NET-Entwicklungsumgebung verwenden
• Erhalten Sie praktische Kenntnisse im Umgang mit Sicherheitstest-Tools
• Erfahren Sie mehr über typische Codierungsfehler und wie Sie diese vermeiden können
• Informieren Sie sich über aktuelle Sicherheitslücken in .NET und ASP.NET
• Holen Sie sich Quellen und weitere Informationen zu sicheren Codierungsmethoden

Publikum

Entwickler

Neben soliden Kenntnissen in der Verwendung verschiedener Sicherheitsfunktionen von .NET und ASP.NET ist es selbst für erfahrene Programmierer unerlässlich, ein tiefes Wissen über webbezogene Schwachstellen sowohl auf Server- als auch auf Client-Seite sowie über die Folgen der verschiedenen Risiken zu besitzen.

In diesem Kurs werden die allgemeinen webbasierten Schwachstellen durch die Präsentation der relevanten Angriffe demonstriert, während die empfohlenen Kodierungstechniken und Entschärfungsmethoden im Kontext von ASP.NET erläutert werden. Ein besonderer Schwerpunkt wird auf die clientseitige Sicherheit gelegt, wobei die Sicherheitsprobleme von JavaScript, Ajax und HTML5 behandelt werden.

Der Kurs befasst sich auch mit der Sicherheitsarchitektur und den Komponenten des .NET-Frameworks, einschließlich der code- und rollenbasierten Zugriffskontrolle, der Mechanismen zur Deklaration und Überprüfung von Berechtigungen und des Transparenzmodells. Eine kurze Einführung in die Grundlagen der Kryptographie bietet eine gemeinsame praktische Basis für das Verständnis des Zwecks und der Funktionsweise verschiedener Algorithmen, auf deren Grundlage der Kurs die kryptographischen Funktionen vorstellt, die in .NET verwendet werden können.

Die Einführung in verschiedene Sicherheitsprobleme folgt den etablierten Schwachstellenkategorien und behandelt Eingabevalidierung, Sicherheitsfunktionen, Fehlerbehandlung, zeit- und zustandsbezogene Probleme, die Gruppe der allgemeinen Codequalitätsprobleme und einen speziellen Abschnitt über ASP.NET-spezifische Schwachstellen. Diese Themen werden mit einem Überblick über Testwerkzeuge abgeschlossen, die zur automatischen Aufdeckung einiger der erlernten Fehler verwendet werden können.

Die Themen werden durch praktische Übungen präsentiert, bei denen die Teilnehmer die Folgen bestimmter Schwachstellen, die Abhilfemaßnahmen sowie die besprochenen APIs und Tools selbst ausprobieren können.

Teilnehmer, die diesen Kurs besuchen, werden

• Grundlegende Konzepte von Sicherheit, IT-Sicherheit und sicherem Coding verstehen
• Web-Schwachstellen jenseits der OWASP Top Ten kennen und wissen, wie man sie vermeidet
• Sie lernen clientseitige Schwachstellen und sichere Programmierpraktiken kennen
• Sie lernen, verschiedene Sicherheitsfunktionen der .NET-Entwicklungsumgebung zu nutzen
• Ein praktisches Verständnis für Kryptographie haben
• Informationen über einige aktuelle Sicherheitslücken in .NET und ASP.NET erhalten
• Praktische Kenntnisse in der Verwendung von Sicherheitstest-Tools
• Lernen Sie typische Kodierungsfehler kennen und erfahren Sie, wie Sie diese vermeiden können.
• Quellen und weiterführende Lektüre zu sicheren Kodierungspraktiken

Zielgruppe

Entwickler

Dieses Kurs gibt eine Einführung in grundlegende Sicherheitskonzepte, bietet einen Überblick über die Natur von Schwachstellen unabhängig von der verwendeten Programmiersprache und Plattform sowie erklärt, wie man die Risiken handhaben kann, die sich im Zusammenhang mit der Software-Sicherheit in den verschiedenen Phasen des Software-Entwicklungsprozesses ergeben. Ohne tiefgreifende technische Details betont es einige der interessantesten und schmerzhaftesten Schwachstellen in diversen Softwareentwicklungstechnologien und stellt die Herausforderungen der Sicherheitstests vor, einschließlich einiger Techniken und Werkzeuge, mit denen man bestehende Probleme im eigenen Code finden kann.

Teilnehmer dieses Kurses werden

• Grundlagen der Sicherheit, IT-Sicherheit und sicheren Codierens verstehen
• Web-Schwachstellen sowohl auf Server- als auch Clientseitig kennen
• Die schwerwiegenden Konsequenzen von unsicheren Pufferverwaltung realisieren
• Über einige kürzlich entdeckte Schwachstellen in Entwicklungsumgebungen und Frameworks informiert sein
• Typische Codierungsfehler verstehen und wie man sie vermeiden kann
• Sicherheitstests-Methoden und -Ansätze verstehen

Zielgruppe

Manager

Der Kurs vermittelt PHP-Entwicklern wesentliche Fähigkeiten, die sie benötigen, um ihre Anwendungen gegen aktuelle Angriffe über das Internet zu schützen. Web-Schwachstellen werden anhand von PHP-basierten Beispielen erörtert, die über die OWASP-Top Ten hinausgehen und verschiedene Injektionsangriffe, Skriptinjektionen, Angriffe auf die Sitzungsbehandlung von PHP, unsichere direkte Objektreferenzen, Probleme beim Hochladen von Dateien und viele andere behandeln. Die PHP-bezogenen Schwachstellen werden in die Standard-Schwachstellenarten fehlende oder unsachgemäße Eingabevalidierung, falsche Fehler- und Ausnahmebehandlung, unsachgemäße Verwendung von Sicherheitsmerkmalen und zeit- und zustandsbezogene Probleme eingeteilt. Für letztere werden Angriffe wie die open_basedir-Umgehung, Denial-of-Service durch Magic Float oder der Hash-Table-Kollisionsangriff diskutiert. In allen Fällen werden die Teilnehmer mit den wichtigsten Techniken und Funktionen vertraut gemacht, die zur Entschärfung der genannten Risiken eingesetzt werden können.

Ein besonderer Schwerpunkt liegt auf der Client-seitigen Sicherheit, wobei die Sicherheitsprobleme von JavaScript, Ajax und HTML5 behandelt werden. Eine Reihe von sicherheitsrelevanten Erweiterungen zu PHP werden vorgestellt, wie z.B. hash, mcrypt und OpenSSL für die Kryptographie, oder Ctype, ext/filter und HTML Purifier für die Eingabevalidierung. Die besten Härtungspraktiken werden im Zusammenhang mit der PHP-Konfiguration (Einstellung der php.ini), Apache und dem Server im Allgemeinen gegeben. Schließlich wird ein Überblick über verschiedene Sicherheitstests und -techniken gegeben, die Entwickler und Tester verwenden können, darunter Sicherheitsscanner, Penetrationstests und Exploit-Packs, Sniffer, Proxy-Server, Fuzzing-Tools und statische Quellcode-Analysatoren.

Sowohl die Einführung in die Schwachstellen als auch die Konfigurationspraktiken werden durch eine Reihe praktischer Übungen unterstützt, die die Folgen erfolgreicher Angriffe demonstrieren, die Anwendung von Abhilfetechniken zeigen und die Verwendung verschiedener Erweiterungen und Werkzeuge vorstellen.

Die Teilnehmer an diesem Kurs werden

• Grundlegende Konzepte der Sicherheit, der IT-Sicherheit und der sicheren Kodierung verstehen
• Web-Schwachstellen jenseits der OWASP Top Ten kennen und wissen, wie man sie vermeidet
• Sie lernen clientseitige Schwachstellen und sichere Programmierpraktiken kennen
• ein praktisches Verständnis von Kryptographie haben
• Lernen Sie, verschiedene Sicherheitsfunktionen von PHP zu nutzen
• Lernen Sie typische Programmierfehler kennen und wie Sie diese vermeiden können
• Über aktuelle Schwachstellen des PHP-Frameworks informiert sein
• Praktische Kenntnisse in der Verwendung von Sicherheitstools
• Quellen und weiterführende Lektüre zu sicheren Programmierpraktiken

Zielgruppe

Entwickler

Das kombinierte SDL-Kerntraining bietet einen Einblick in das sichere Design, die Entwicklung und das Testen von Software über den Microsoft Secure Development Lifecycle (SDL). Es bietet einen Überblick über die grundlegenden Bausteine von SDL auf Stufe 100, gefolgt von Entwurfstechniken, mit denen Fehler in frühen Phasen des Entwicklungsprozesses erkannt und behoben werden können.

Der Kurs befasst sich mit der Entwicklungsphase und gibt einen Überblick über die typischen sicherheitsrelevanten Programmierfehler von verwaltetem und nativem Code. Die Angriffsmethoden für die besprochenen Sicherheitslücken werden zusammen mit den damit verbundenen Abhilfemaßnahmen vorgestellt. Diese werden durch eine Reihe von praktischen Übungen erläutert, die den Teilnehmern Live-Hacking-Spaß bieten. Nach der Einführung verschiedener Sicherheitstestmethoden wird die Wirksamkeit verschiedener Testtools demonstriert. Die Teilnehmer können die Funktionsweise dieser Tools anhand einer Reihe praktischer Übungen verstehen, indem sie die Tools auf den bereits diskutierten anfälligen Code anwenden.

Teilnehmer dieses Kurses werden

Grundlagen der Sicherheit, IT-Sicherheit und sicheren Codierung verstehen

Die wesentlichen Schritte des Microsoft Secure Development Lifecycle kennen lernen

Praktiken für sicheres Design und Entwickeln erlernen

Prinzipien der sicheren Implementierung kennenlernen

Eine Sicherheitstestmethodik verstehen

• Quellen und weitere Lektüren zu praktiken sicheren Codierens erhalten

Publikum

Entwickler, Manager

Nachdem sich die Teilnehmer mit den Schwachstellen und den Angriffsmethoden vertraut gemacht haben, lernen sie den allgemeinen Ansatz und die Methodik für Sicherheitstests sowie die Techniken kennen, die zur Aufdeckung bestimmter Schwachstellen eingesetzt werden können. Sicherheitstests sollten mit dem Sammeln von Informationen über das System (ToC, d.h. Target of Evaluation) beginnen, dann sollten durch eine gründliche Bedrohungsmodellierung alle Bedrohungen aufgedeckt und bewertet werden, um zu dem am besten geeigneten, auf der Risikoanalyse basierenden Testplan zu gelangen.

Sicherheitsevaluierungen können in verschiedenen Schritten des SDLC stattfinden, und so besprechen wir die Entwurfsprüfung, die Codeprüfung, die Erkundung und das Sammeln von Informationen über das System, das Testen der Implementierung und das Testen und Härten der Umgebung für den sicheren Einsatz. Viele Sicherheitstesttechniken werden im Detail vorgestellt, wie z.B. Taint-Analyse und heuristikbasierte Codeüberprüfung, statische Codeanalyse, dynamische Web-Schwachstellenprüfung oder Fuzzing. Es werden verschiedene Arten von Werkzeugen vorgestellt, die zur Automatisierung der Sicherheitsevaluierung von Softwareprodukten eingesetzt werden können. Dies wird auch durch eine Reihe von Übungen unterstützt, bei denen wir diese Werkzeuge zur Analyse des bereits besprochenen verwundbaren Codes einsetzen. Viele reale Fallstudien unterstützen das bessere Verständnis verschiedener Schwachstellen.

Dieser Kurs bereitet Tester und QA-Mitarbeiter darauf vor, Sicherheitstests adäquat zu planen und präzise auszuführen, die am besten geeigneten Tools und Techniken auszuwählen und einzusetzen, um auch versteckte Sicherheitslücken zu finden, und vermittelt so wesentliche praktische Fähigkeiten, die am nächsten Arbeitstag angewendet werden können.

Die Teilnehmer an diesem Kurs werden

• Grundlegende Konzepte der Sicherheit, der IT-Sicherheit und der sicheren Kodierung verstehen
• lernen Web-Schwachstellen über die OWASP Top Ten hinaus kennen und wissen, wie man sie vermeidet
• Sie lernen clientseitige Schwachstellen und sichere Kodierungspraktiken kennen
• Verstehen von Sicherheitstestansätzen und -methodiken
• Praktische Kenntnisse in der Anwendung von Sicherheitstesttechniken und -tools
• Quellen und weiterführende Lektüre zu sicheren Programmierpraktiken

Zielgruppe

Entwickler, Prüfer

Der Schutz von Anwendungen, auf die über das Web zugegriffen werden kann, erfordert einen gut vorbereiteten Sicherheitsexperten, der jederzeit über die aktuellen Angriffsmethoden und -trends informiert ist. Es gibt eine Vielzahl von Technologien und Umgebungen, die eine komfortable Entwicklung von Webanwendungen ermöglichen. Man sollte sich nicht nur der Sicherheitsprobleme bewusst sein, die für diese Plattformen relevant sind, sondern auch aller allgemeinen Sicherheitslücken, die unabhängig von den verwendeten Entwicklungstools auftreten.

Der Kurs gibt einen Überblick über die anwendbaren Sicherheitslösungen in Webanwendungen, wobei der Schwerpunkt auf dem Verständnis der wichtigsten anzuwendenden kryptografischen Lösungen liegt. Die verschiedenen Sicherheitslücken in Webanwendungen werden sowohl auf der Serverseite (im Anschluss an die OWASP Top-Ten- OWASP ) als auch auf der Clientseite dargestellt, anhand der entsprechenden Angriffe demonstriert und anschließend die empfohlenen Codierungstechniken und Abhilfemethoden zur Vermeidung der damit verbundenen Probleme beschrieben. Das Thema der sicheren Codierung wird mit einigen typischen sicherheitsrelevanten Programmierfehlern im Bereich der Eingabevalidierung, der unsachgemäßen Verwendung von Sicherheitsmerkmalen und der Codequalität abgeschlossen.

Tests spielen eine sehr wichtige Rolle bei der Gewährleistung der Sicherheit und Robustheit von Webanwendungen. Verschiedene Ansätze - von hochrangigen Audits über Penetrationstests bis hin zu ethischem Hacking - können angewendet werden, um Schwachstellen unterschiedlicher Art zu finden. Wenn Sie jedoch über die leicht zu findenden, niedrig hängenden Früchte hinausgehen möchten, sollten Sicherheitstests gut geplant und ordnungsgemäß ausgeführt werden. Denken Sie daran: Sicherheitstester sollten idealerweise alle Fehler finden, um ein System zu schützen, während es für Gegner ausreicht, eine ausnutzbare Sicherheitslücke zu finden, um in das System einzudringen.

Praktische Übungen helfen dabei, Sicherheitslücken in Webanwendungen, Programmierfehler und vor allem die Abhilfemaßnahmen zu verstehen. In diesem Kurs werden praktische Versuche mit verschiedenen Testtools von Sicherheitsscannern über Sniffer, Proxy-Server, Fuzzing-Tools bis hin zu statischen Quellcode-Analysegeräten durchgeführt grundlegende praktische Fähigkeiten, die am nächsten Tag am Arbeitsplatz angewendet werden können.

Teilnehmer an diesem Kurs werden

• Grundlegende Konzepte für Sicherheit, IT-Sicherheit und sichere Codierung verstehen
• Informieren Sie sich über Web-Schwachstellen, die über OWASP Top Ten hinausgehen, und lernen Sie, diese zu vermeiden
• Informieren Sie sich über clientseitige Sicherheitslücken und sichere Codierungsmethoden
• Ein praktisches Verständnis der Kryptographie haben
• Verstehen der Ansätze und Methoden für Sicherheitstests
• Erhalten Sie praktische Kenntnisse im Umgang mit Sicherheitstesttechniken und -werkzeugen
• Informieren Sie sich über aktuelle Sicherheitslücken in verschiedenen Plattformen, Frameworks und Bibliotheken
• Holen Sie sich Quellen und weitere Informationen zu sicheren Codierungsmethoden

Publikum

Entwickler, Tester

Schutz von über das Web zugänglichen Anwendungen erfordert gut vorbereitete Sicherheitsexpertinnen und Experten, die stets auf dem Laufenden sind bezüglich aktueller Angriffsmethoden und -trends. Es gibt eine Vielzahl von Technologien und Umgebungen, die einen bequemen Entwicklungsprozess für Webanwendungen ermöglichen (wie Java, ASP.NET oder PHP, sowie Javascript oder Ajax auf der Clientseite). Man sollte sich nicht nur mit den Sicherheitsproblemen auseinandersetzen, die für diese Plattformen relevant sind, sondern auch mit allen allgemeinen Schwachstellen, die unabhängig von den verwendeten Entwicklungstools gelten.

Der Kurs bietet einen Überblick über anwendbare Sicherheitslösungen in Webanwendungen und konzentriert sich auf die wichtigsten Technologien wie sichere Kommunikation und Webservices. Dabei werden sowohl Transport-Schichten-Sicherheit als auch End-to-End-Sicherheitslösungen und Standards wie Web Services Security und XML behandelt. Zudem gibt es einen kurzen Überblick über typische Programmierfehler, insbesondere im Zusammenhang mit fehlender oder unzureichender Eingabeverifikation.

Die webbasierten Schwachstellen werden durch die Darstellung der relevanten Angriffe veranschaulicht. Empfohlene Codetechniken und Mitigation-Methoden werden erklärt, um die damit verbundenen Probleme zu vermeiden. Die Übungen können leicht von Programmierern in verschiedenen Sprachen nachvollzogen werden, sodass webanwendungsspezifische Themen leicht mit anderen sicherheitsbezogenen Codethemen kombiniert werden können und so den Bedürfnissen von Unternehmensentwicklungsteams gerecht werden, die typischerweise verschiedene Sprachen und Entwicklungsumgebungen für Webanwendungen verwenden.

Am Ende dieses Trainings werden die TeilnehmerInnen in der Lage sein:

• Basisbegriffe der Sicherheit, IT-Sicherheit und sicherem Codieren zu verstehen.
• Weiter als OWASP Top Ten über Web-Schwachstellen zu erfahren und zu wissen, wie man sie vermeidet.
• Client-seitige Schwachstellen und sichere Codierungspraktiken zu kennen.
• Eine praktische Verständnis von Kryptographie zu haben.
• Sicherheitskonzepte von Webservices zu verstehen.
• Praktisches Wissen in der Nutzung von Sicherheitstestwerkzeugen zu erwerben.
• Quellen und weitere Lektüren über sichere Codierungspraktiken zu erhalten.

Format des Kurses

• Interaktive Vorlesung und Diskussion.
• Viele Übungen und praktische Anwendungen.
• Händisches Implementieren in einer Live-Lab-Umgebung.

Anpassungsoptionen des Kurses

• Um eine angepasste Ausbildung für diesen Kurs zu beantragen, kontaktieren Sie uns bitte zur Absprache.

In diesem von einem Ausbilder geleiteten Live-Kurs lernen die Teilnehmer, wie sie die richtige Sicherheitsstrategie formulieren, um der DevOps-Sicherheitsherausforderung zu begegnen.

Diese von einem Trainer geleitete Live-Schulung (online oder vor Ort) richtet sich an Entwickler, Ingenieure und Architekten, die ihre Webanwendungen und -dienste absichern wollen.

Am Ende dieser Schulung werden die Teilnehmer in der Lage sein, ihre Webanwendungen und -dienste mit Hilfe des OWASP-Testframeworks und der Tools zu integrieren, zu testen, zu schützen und zu analysieren.

Dieser Kurs in Graz zielt darauf ab, folgendes zu unterstützen:

1. Hilfe für Entwickler, die Techniken des Schreibens sicherem Code zu meistern
2. Hilfe für Software-Testpersonen, um vor der Veröffentlichung in die Produktionsumgebung die Sicherheit der Anwendung zu testen
3. Hilfe für Software-Architekten, um die Risiken umliegende Anwendungen zu verstehen
4. Hilfe für Teamleiter, um die Sicherheitsbaselines für Entwickler festzulegen
5. Hilfe für Webmasters, um Server so einzurichten, dass Misskonfigurationen vermieden werden

Dieser Kurs behandelt die sicheren Codierungskonzepte und -prinzipien mit Java mithilfe der OWASP von Open Web Application Security Project ( OWASP ). Das Open Web Application Security Project ist eine Online-Community, die frei verfügbare Artikel, Methoden, Dokumentationen, Tools und Technologien im Bereich der Sicherheit von Webanwendungen erstellt.

In diesem Kurs werden die Konzepte und Prinzipien der sicheren Codierung mit ASP.net anhand der Testmethode des Open Web Application Security Project ( OWASP ) behandelt. OWASP ist eine Online-Community, die frei verfügbare Artikel, Methoden, Dokumentationen, Tools und Technologien in diesem Bereich erstellt der Sicherheit von Webanwendungen.

In diesem Kurs werden die Sicherheitsfunktionen von Dot Net Framework und das Sichern von Webanwendungen erläutert.

Beschreibung:

Dieser Kurs vermittelt den Teilnehmern ein umfassendes Verständnis von Sicherheitskonzepten, Konzepten für Webanwendungen und Frameworks, die von Entwicklern verwendet werden, um gezielte Anwendungen ausnutzen und schützen zu können. In der heutigen Welt, die sich rasant verändert und in der sich auch alle verwendeten Technologien in schnellem Tempo ändern, sind Webanwendungen rund um die Uhr Hackerangriffen ausgesetzt. Um die Anwendungen vor externen Angreifern zu schützen, muss man alle Bestandteile der Webanwendung kennen, wie Frameworks, Sprachen und Technologien, die bei der Entwicklung von Webanwendungen verwendet werden, und noch viel mehr. Das Problem ist, dass der Angreifer nur einen Weg kennen muss, um in die Anwendung einzubrechen, und der Entwickler (oder Systemadministrator) alle möglichen Exploits kennen muss, um dies zu verhindern. Aus diesem Grund ist es wirklich schwierig, eine kugelsichere Webanwendung zu haben, und in den meisten Fällen ist die Webanwendung für irgendetwas anfällig. Dies wird regelmäßig von Cyber-Kriminellen und Gelegenheits-Hackern ausgenutzt, und es kann durch korrekte Planung, Entwicklung, Webanwendungstests und Konfiguration minimiert werden.

Zielsetzungen:

Vermittlung der Fähigkeiten und Kenntnisse, die erforderlich sind, um mögliche Schwachstellen in laufenden Webanwendungen zu verstehen und zu erkennen sowie erkannte Schwachstellen auszunutzen. Aufgrund der in der Identifizierungs- und Ausnutzungsphase erworbenen Kenntnisse sollten Sie in der Lage sein, die Webanwendung gegen ähnliche Angriffe zu schützen. Nach diesem Kurs wird der Teilnehmer in der Lage sein, die OWASP Top-10-Schwachstellen zu verstehen und zu identifizieren und dieses Wissen in ein Schutzschema für Webanwendungen einzubauen.

Zielgruppe:

Entwickler, Polizei und andere Strafverfolgungsbehörden, Verteidigungs- und Militärangehörige, e-Business Sicherheitsexperten, Systemadministratoren, Banken, Versicherungen und andere Fachleute, Go Regierungsbehörden, IT-Manager, CISOs, CTOs.