Sicheres Programmieren in PHP Schulung
Dieser Kurs vermittelt PHP-Entwicklern essentielle Fähigkeiten, um ihre Anwendungen widerstandsfähig gegen zeitgenössische Angriffe über das Internet zu machen. Web-Schwachstellen werden anhand von PHP-basierten Beispielen erläutert, die über die OWASP Top Ten hinausgehen. Dabei werden verschiedene Injektionsangriffe, Script-Injektionen, Angriffe auf die Session-Verwaltung von PHP, unsichere direkte Objektverweise (IDOR), Probleme mit Dateiuploads und viele weitere Themen behandelt. PHP-spezifische Schwachstellen werden in die standardmäßigen Kategorien fehlende oder unzureichende Eingabevalidierung, fehlerhafte Fehler- und Ausnahmeverarbeitung, unsachgemäßer Gebrauch von Sicherheitsfunktionen sowie zeit- und zustandsbezogene Probleme eingeteilt. Für diese letztere Kategorie werden Angriffe wie das Umgehen von open_basedir, Denial of Service durch magische Float-Zahlen oder Hash-Tabellen-Kollisionsangriffe besprochen. In allen Fällen setzen sich die Teilnehmer mit den wichtigsten Techniken und Funktionen auseinander, um die genannten Risiken zu minimieren.
Ein besonderer Fokus liegt auf der Client-seitigen Sicherheit, wobei Sicherheitsprobleme von JavaScript, Ajax und HTML5 behandelt werden. Zudem werden eine Reihe sicherheitsrelevanter PHP-Erweiterungen eingeführt, wie z. B. hash, mcrypt und OpenSSL für die Kryptographie sowie Ctype, ext/filter und HTML Purifier zur Eingabevalidierung. Die besten Hardening-Praktiken werden im Zusammenhang mit der PHP-Konfiguration (Einstellung von php.ini), Apache und dem Server im Allgemeinen vorgestellt. Abschließend wird ein Überblick über verschiedene Sicherheits-Testing-Tools und -Techniken gegeben, die Entwickler und Tester nutzen können, einschließlich Security Scannern, Penetration Testing und Exploit Paks, Sniffern, Proxy-Servern, Fuzzing-Tools und statischen Quellcode-Analysatoren.
Sowohl die Einführung in Schwachstellen als auch die Konfigurationspraktiken werden durch zahlreiche praktische Übungen unterstützt, die die Konsequenzen erfolgreicher Angriffe aufzeigen, den Einsatz von Minimierungstechniken veranschaulichen und die Anwendung verschiedener Erweiterungen und Tools einführen.
Teilnehmer, die diesen Kurs besuchen, werden
- Grundkonzepte der Sicherheit, IT-Sicherheit und des sicheren Programmierens verstehen
- Weiterführende Web-Schwachstellen jenseits der OWASP Top Ten kennen lernen und wissen, wie man diese vermeidet
- Client-seitige Schwachstellen und bewährte Praktiken für sicheres Programmieren erlernen
- Eine praktische understood von Kryptographie erwerben
- Lernen, verschiedene Sicherheitsfeatures von PHP zu verwenden
- Häufige Programmierfehler kennen lernen und wissen, wie man sie vermeidet
- Über aktuelle Schwachstellen des PHP-Frameworks informiert sein
- Praktische Kenntnisse im Umgang mit Security-Testing-Tools gewinnen
- Quellen und weiterführende Literatur zu Praktiken des sicheren Programmierens erhalten
Zielgruppe
Entwickler
Schulungsübersicht
- IT-Sicherheit und sicheres Programmieren
- Sicherheit von Webanwendungen
- Schwachstellen von Webanwendungen
- Client-seitige Sicherheit
- Client-seitige Sicherheit
- Praktische Kryptographie
- PHP-Sicherheitsdienste
- PHP-Umgebung
- Grundprinzipien der Sicherheit und des sicheren Programmierens
- Häufige Programmierfehler und Schwachstellen
- Sicherheits-Testing-Techniken und -Tools
- Wissensquellen
Offene Schulungskurse erfordern mindestens 5 Teilnehmer.
Sicheres Programmieren in PHP Schulung - Buchung
Sicheres Programmieren in PHP Schulung - Anfrage
Sicheres Programmieren in PHP - Beratungsanfrage
Erfahrungsberichte (3)
I genuinely enjoyed the real life examples.
Marios Prokopiou
Kurs - Secure coding in PHP
Maschinelle Übersetzung
All topics were well covered and presented with a lot of examples. Ahmed was very efficient and managed to keep us focused and attracted at all times.
Kostas Bastas
Kurs - Secure coding in PHP
Maschinelle Übersetzung
The subject of the course was very interesting and gave us many ideas.
Anastasios Manios
Kurs - Secure coding in PHP
Maschinelle Übersetzung
Kommende Kurse
Kombinierte Kurse
Netzwerksicherheit und sichere Kommunikation
21 StundenDie Implementierung einer sicheren Netzwerk-Anwendung kann herausfordernd sein, selbst für Entwickler, die bereits verschiedene kryptografische Bausteine (wie Verschlüsselung und digitale Signaturen) verwendet haben. Um den Teilnehmern die Rolle und Anwendung dieser kryptografischen Grundelemente verständlich zu machen, wird zunächst eine fundierte Basis zu den Hauptanforderungen einer sicheren Kommunikation gelegt – dazu gehören sichere Bestätigung, Integrität, Vertraulichkeit, remote Identifikation und Anonymität. Dabei werden auch typische Probleme vorgestellt, die diese Anforderungen beeinträchtigen können, sowie praxisnahe Lösungen.
Da Kryptografie ein entscheidender Aspekt der Netzwerksicherheit ist, werden die wichtigsten Algorithmen in der symmetrischen Kryptografie, Hashing, asymmetrischer Kryptografie und Schlüsselvereinbarung behandelt. Statt tiefergehende mathematische Hintergründe zu erläutern, werden diese Elemente aus der Perspektive von Entwicklern diskutiert, wobei typische Anwendungsbeispiele und praktische Aspekte im Umgang mit Kryptografie – wie Public-Key-Infrastrukturen (PKI) – aufgezeigt werden. Zudem werden Sicherheitsprotokolle in verschiedenen Bereichen sicherer Kommunikation vorgestellt, mit einem vertieften Fokus auf den am weitesten verbreiteten Protokollfamilien IPsec und SSL/TLS.
Typische Schwachstellen in der Kryptografie werden sowohl für bestimmte kryptografische Algorithmen als auch für kryptografische Protokolle diskutiert, darunter BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding-Oracle-Attacken, Lucky Thirteen, POODLE und ähnliche Angriffe sowie die RSA-Zeitangriffe (Timing Attacks). In jedem Fall werden die praktischen Implikationen und möglichen Folgen dieser Probleme beschrieben, wiederum ohne tiefe mathematische Details.
Da XML-Technologie für den Datenaustausch vernetzter Anwendungen zentral ist, werden abschließend die Sicherheitsaspekte von XML behandelt. Dies umfasst die Nutzung von XML innerhalb von Webdiensten und SOAP-Nachrichten sowie Schutzmaßnahmen wie XML-Signatur und XML-Verschlüsselung – ebenso wie Schwachstellen dieser Schutzmechanismen und XML-spezifische Sicherheitsprobleme wie XML-Injection, XML External Entity (XXE)-Angriffe, XML-Bombs und XPath-Injection.
Die Teilnehmer dieses Kurses werden
- Grundkonzepte der Sicherheit, IT-Sicherheit und sicheren Programmierung verstehen
- Die Anforderungen an sichere Kommunikation nachvollziehen können
- Netzwerkangriffe und Abwehrmaßnahmen in verschiedenen OSI-Schichten kennenlernen
- Ein praktisches Verständnis von Kryptografie erwerben
- Wesentliche Sicherheitsprotokolle verstehen
- Neuere Angriffe auf Kryptosysteme nachvollziehen können
- Informationen zu einigen aktuellen, damit verbundenen Schwachstellen erhalten
- Sicherheitskonzepte von Webdiensten verstehen
- Quellen und weiterführende Literatur zu bewährten Praktiken der sicheren Programmierung kennenlernen
Zielgruppe
Entwickler, Fachkräfte
Sicheres Coden in C/C++
21 StundenDas Schreiben von sicherem C- und C++-Code erfordert eine strenge Abwehr gegen böswillige Ausnutzung, Speicherbeschädigung und das Umgehen der Eingabevalidierung. Dieses Programm untersucht Schwachstellenmuster wie Pufferüberläufe, Use-after-Free, Integer-Überläufe und Typverwechslungen. Die Teilnehmenden wenden Richtlinien für sicheres Coden, statische Analysewerkzeuge und Techniken der defensiven Programmierung an, um Schwachstellen zu beseitigen, die Eingabebereinigung durchzusetzen und eine gehärtete Software zu entwickeln, die gegen Cyberangriffe widerstandsfähig ist.
Erweiterte Java-Sicherheit
21 StundenAuch erfahrene Java-Entwickler beherrschen nicht unbedingt die verschiedenen von Java angebotenen Sicherheitsdienste und sind sich auch der für in Java geschriebene Webanwendungen relevanten Schwachstellen oft nicht bewusst.
Der Kurs – neben der Einführung in die Sicherheitsspezifika der Standard Java Edition – befasst sich mit Sicherheitsfragen der Java Enterprise Edition (JEE) und von Webservices. Der Diskussion spezifischer Dienste gehen Grundlagen der Kryptografie und sicherer Kommunikation voraus. Verschiedene Übungen behandeln deklarative und programmatische Sicherheits-Techniken in JEE, während sowohl die Sicherheitsmaßnahmen auf Transportschicht als auch End-to-End-Sicherheit von Webservices diskutiert werden. Die Nutzung aller Komponenten wird durch mehrere praktische Übungen veranschaulicht, bei denen Teilnehmer die besprochenen APIs und Tools selbst austesten können.
Der Kurs geht zudem durch und erklärt die häufigsten und schwerwiegendsten Programmierfehler der Java-Sprache und -Plattform sowie webbezogene Schwachstellen. Neben den typischen Fehlern, die von Java-Entwicklern begangen werden, umfassen die vorgestellten Sicherheitslücken sowohl languagespezifische Probleme als auch Probleme, die aus der Laufzeitumgebung resultieren. Alle Schwachstellen und relevanten Angriffe werden durch leicht verständliche Übungen demonstriert, denen empfohlene Coding-Richtlinien und mögliche Gegenmaßnahmen folgen.
Teilnehmer dieses Kurses werden
- Grundkonzepte der Sicherheit, IT-Sicherheit und sicheren Programmierens verstehen
- Webschwachstellen jenseits der OWASP Top Ten kennenlernen und wissen, wie man sie vermeidet
- Sicherheitskonzepte von Webservices verstehen
- Lernen, verschiedene Sicherheitsfunktionen der Java-Entwicklungsumgebung zu nutzen
- Ein praktisches Verständnis für Kryptografie entwickeln
- Sicherheitslösungen von Java EE verstehen
- Typische Programmierfehler und ihre Vermeidung kennenlernen
- Informationen über einige aktuelle Schwachstellen im Java-Framework erhalten
- Praktisches Wissen im Umgang mit Sicherheitstest-Tools erwerben
- Quellen und weiterführende Literatur zu sicheren Coding-Praktiken erhalten
Zielgruppe
Entwickler
Sicherheitsentwicklung mit .NET, C# und ASP.NET
14 StundenHeute stehen zahlreiche Programmiersprachen zur Verfügung, um Code für die .NET- und ASP.NET-Frameworks zu kompilieren. Diese Umgebung bietet leistungsstarke Mittel für die Sicherheitsentwicklung, doch Entwickler müssen wissen, wie sie architekturbedingte und codierte Programmiertechniken anwenden, um die gewünschte Sicherheitsfunktionalität zu implementieren, Schwachstellen zu vermeiden oder deren Ausnutzung zu begrenzen.
Ziel dieses Kurses ist es, Entwicklern durch zahlreiche Praxisübungen beizubringen, wie sie nicht vertrauenswürdigen Code daran hindern können, privilegierte Aktionen auszuführen, Ressourcen durch starke Authentifizierung und Autorisierung schützen, Remote Procedure Calls bereitstellen, Sitzungen verwalten, unterschiedliche Implementierungen für bestimmte Funktionen einführen und vieles mehr.
Die Einführung in verschiedene Schwachstellen beginnt mit der Darstellung typischer Programmierfehler, die bei der Nutzung von .NET begangen werden. Die Diskussion über Schwachstellen in ASP.NET befasst sich zudem mit verschiedenen Umgebungseinstellungen und deren Auswirkungen. Schließlich behandelt das Thema ASP.NET-spezifische Schwachstellen nicht nur allgemeine Herausforderungen der Webanwendungssicherheit, sondern auch spezielle Probleme und Angriffsmethoden wie den Angriff auf ViewState oder String-Terminierungsangriffe.
Teilnehmer dieses Kurses werden
- Grundkonzepte von Sicherheit, IT-Sicherheit und sicherem Coding verstehen
- Web-Schwachstellen jenseits der OWASP Top Ten kennenlernen und wissen, wie man sie vermeidet
- Lernen, verschiedene Sicherheitsfunktionen der .NET-Entwicklungsumgebung zu nutzen
- Praktisches Wissen im Umgang mit Sicherheitstesttools erwerben
- Typische Programmierfehler kennenlernen und erfahren, wie man sie vermeidet
- Informationen über einige aktuelle Schwachstellen in .NET und ASP.NET erhalten
- Quellen und weiterführende Literatur zu sicheren Coding-Praktiken bekommen
Zielgruppe
Entwickler
Microsoft SDL Core
14 StundenDie kombinierte Schulung zu Microsoft SDL Core bietet einen Einblick in die sicheren Design-, Entwicklungs- und Testverfahren gemäß dem Secure Development Lifecycle (SDL) von Microsoft. Sie vermittelt eine Übersicht auf Anfängerniveau (Level 100) der grundlegenden Bausteine des SDL, gefolgt von Entwurfstechniken zur Erkennung und Behebung von Schwachstellen in frühen Phasen des Entwicklungsprozesses.
Im Fokus auf der Entwicklungsphase behandelt der Kurs typische sicherheitsrelevante Programmierfehler sowohl in verwaltetem als auch in nativem Code. Angreifertechniken werden für die besprochenen Sicherheitslücken vorgestellt, zusammen mit den zugehörigen Abwehrmaßnahmen. All dies wird anhand zahlreicher praktischer Übungen vermittelt, die den Teilnehmern spannende Einblicke in Live-Hacking-Szenarien ermöglichen. Die Einführung verschiedener Sicherheitstestmethoden wird durch Demonstrationen der Wirksamkeit unterschiedlicher Testing-Tools ergänzt. Die Teilnehmer können den Funktionsweise dieser Tools in praktischen Übungen erlernen, indem sie diese auf bereits besprochene schwachstellenbehafteten Code anwenden.
Teilnehmer dieser Schulung werden
Die grundlegenden Konzepte von Sicherheit, IT-Sicherheit und Secure Coding verstehen.
Sich mit den essenziellen Schritten des Microsoft Secure Development Lifecycle vertraut machen.
Praktiken für sicheres Design und sichere Entwicklung erlernen.
Grundsätze der sicheren Implementierung kennenlernen.
Die Methodik von Sicherheitstests verstehen.
- Quellen und weiterführende Literatur zu Secure Coding-Praktiken erhalten.
Zielgruppe
Entwickler, Manager
DevOps-Sicherheit: Erstellen einer DevOps-Sicherheitsstrategie
7 StundenIn diesem dozentengeleiteten Live-Kurs in Österreich lernen die Teilnehmer, wie sie eine angemessene Sicherheitsstrategie formulieren können, um der DevOps-Sicherheits-Herausforderung zu begegnen.
Design-Patterns in PHP
14 StundenDieses instructor-led, live Schulung in Österreich (online oder vor Ort) richtet sich an PHP-Entwickler auf mittlerem Niveau, die Design-Patterns effektiv in ihren Projekten anwenden möchten.
Am Ende dieser Schulung werden die Teilnehmer folgende Fähigkeiten besitzen:
- Den Zweck und die Vorteile von Design Patterns verstehen.
- Geeignete Design Patterns für häufige Szenarien identifizieren und implementieren.
- PHP-Anwendungen mit branchenüblichen Best Practices strukturieren.
- Patterns in moderne Frameworks wie Symfony oder Zend integrieren.
EC-Council Certified DevSecOps Engineer (ECDE)
28 StundenDer EC-Council Certified DevSecOps Engineer (ECDE) ist ein praxisorientierter Kurs, der Fachleuten die notwendigen Fähigkeiten vermittelt, um Sicherheit in den gesamten DevOps-Lebenszyklus zu integrieren und so eine sichere Softwareentwicklung von der Planung bis zur Bereitstellung zu ermöglichen.
Dieser instruktionsgeleitete Live-Training (online oder vor Ort) richtet sich an erfahrene Software- und DevOps-Fachkräfte, die Sicherheitspraktiken in CI/CD-Pipelines integrieren möchten, um eine sichere und konforme Codeauslieferung sicherzustellen.
Nach Abschluss dieses Trainings sind die Teilnehmer in der Lage:
- Die Prinzipien und Praktiken von DevSecOps zu verstehen.
- Jede Stufe der CI/CD-Pipeline mit automatisierten Tools zu sichern.
- Sichere Programmierpraktiken und Schwachstellenscanning umzusetzen.
- Sich durch praktische Labore und Wiederholungen auf die ECDE-Zertifizierung vorzubereiten.
Kursformat
- Interaktive Vorträge und Diskussionen.
- Praxisnahe Anwendung von DevSecOps-Tools in simulierten Pipelines.
- Geführte Übungen mit Fokus auf sichere Entwicklung und Bereitstellung.
Möglichkeiten zur Kursanpassung
- Um ein maßgeschneidertes Training für diesen Kurs anzufordern, das auf den Workflows oder der Toolkette Ihres Teams basiert, kontaktieren Sie uns bitte zur Vereinbarung.
Laravel PHP Framework
14 StundenDieser Dozentengeleitete Live-Training in Österreich bringt die Grundlagen von Laravel näher und führt die Teilnehmenden durch die Erstellung einer auf Laravel basierenden Webanwendung.
Laravel Livewire
7 StundenDieses instructor-led live Training in Österreich (online oder vor Ort) richtet sich an Entwickler, die Livewire lernen und nutzen möchten, um moderne und dynamische Anwendungsschnittstellen zu erstellen.
Nach Abschluss dieses Trainings können Teilnehmende:
- Livewire-Komponenten erstellen und testen.
- Anwendungen mit der Livewire-Bibliothek entwickeln.
- dynamische Komponenten in PHP implementieren.
Laravel und Vue.js
14 StundenDieses instruktionsgeleitete Live-Training in Österreich (online oder vor Ort) richtet sich an Webentwickler, die Laravel und Vue JS für das Fullstack-Webdevelopment einsetzen möchten.
Nach Abschluss dieses Trainings werden die Teilnehmer in der Lage sein:
- Webanwendungen mit Laravel und Vue JS zu entwickeln.
- Die Laravel-Backend-API in Vue JS zu integrieren.
- Eine Laravel-Anwendung bereitzustellen.
Laravel: Entwicklung von Middleware
14 StundenDieser vom Dozenten geleitete Live-Training (online oder vor Ort) richtet sich an Webentwickler, die Middleware und Webdienste in Laravel entwickeln möchten.
Abschließend können die Teilnehmer folgende Kenntnisse erwerben:
- Laravel PHP Artisan zur Code- und Komponentengenerierung nutzen.
- RESTful-APIs in Laravel erstellen, die Daten durchsuchen, lesen, bearbeiten, hinzufügen und löschen können.
- Ergebnisse basierend auf URL-Parametern mit RESTful-APIs filtern und sortieren.
Wie man sicheren Code schreibt
35 StundenDieser Kurs in Österreich zielt darauf ab, bei Folgendem zu helfen:
- Entwickler dabei zu unterstützen, die Techniken des sicheren Codierens zu beherrschen
- Softwaretester dabei zu unterstützen, die Sicherheit der Anwendung vor der Freigabe in der Produktionsumgebung zu testen
- Softwarearchitekten dabei zu helfen, die Risiken im Zusammenhang mit Anwendungen zu verstehen
- Teamleitern dabei zu unterstützen, die Sicherheitsgrundlagen für Entwickler festzulegen
- Webmastern dabei zu helfen, Server so zu konfigurieren, dass Konfigurationsfehler vermieden werden
Sichere Java-Entwicklung (inkl. OWASP)
21 StundenDieser Kurs behandelt die Prinzipien des sicheren Programmierens in Java anhand der Testmethodik des Open Web Application Security Project (OWASP). Das Open Web Application Security Project ist eine Online-Community, die frei verfügbare Artikel, Methoden, Dokumentation, Tools und Technologien im Bereich der Webanwendungssicherheit bereitstellt.
Sicherer Entwickler .NET (inkl. OWASP)
21 StundenDieser Kurs behandelt die Konzepte und Prinzipien des sicheren Codings mit ASP.NET anhand der Testmethodik des Open Web Application Security Project (OWASP). OWASP ist eine Online-Community, die frei zugängliche Artikel, Methodiken, Dokumentation, Tools und Technologien im Bereich der Webanwendungssicherheit entwickelt.
Dieser Kurs erläutert die Sicherheitsfunktionen des .NET-Frameworks und zeigt, wie Webanwendungen gesichert werden können.