Web Security Workshop

Security lernt man am besten in dem man selber hackt! Dieser Kurs vermittelt, wie aktuelle Schwachstellen von Webapplikation funktionieren und wie man diese ausnutzt. Mit diesem Wissen werden dann effektive Gegenmassnahmen besprochen und angewendet.

Kursthemen auf einen Blick
Backend Security (Broken Access Control, SQL Injection, …)
Frontend Security (XSS, CSRF, …)
Secure Development und DevSecOps
Kursdauer
2 Tage

Kursvoraussetzungen

Ein solides Grundwissen über HTML5, JavaScript und HTTP ist Voraussetzung für diesen Workshop.

Kursübersicht

Dieser Kurs vermittelt den Teilnehmenden die typischen Schwachstellen in modernen Web-Applikationen sowie die Kniffe und Tricks sicherer Web-Programmierung. Die häufigsten Sicherheitsprobleme werden im Detail erklärt und mit Live-Sessions demonstriert. Die OWASP Top 10 sind dabei ein wichtiger Bestandteil.

Das neu Gelernte wird direkt an einer unsicheren Webanwendung angewendet (OWASP Juice Shop). Hierzu verwenden wir aktuelle Security-Tools wie der OWASP ZAP Attack Proxy oder SQLMap. Sie lernen zudem, wie Gegenmassnahmen implementiert werden.

Kursagenda

Tag 1
Der erste Teil des Kurses konzentriert sich auf die Aspekte serverseitiger Sicherheit. Dabei wird zwischen Theorie, Demonstrationen und praktischen Übungen gewechselt. Die Teilnehmenden können dabei selbst eine Applikation in einem geschützten Umfeld angreifen und vorhandene Schwachstellen ausfindig machen. Es werden gängige Tools vorgestellt und der Umgang damit geschult.

Setup Hacking-Lab (OWASP ZAP)
Risks and Threats
Broken Access Control
SQL Injection
Authentication, Federated Logins
JWT Vulnerabilities
Misconfiguration & Known Vulnerabilities
Server-Side Request Forgery
Tag 2
Im zweiten Teil liegt der Fokus auf dem Client (Desktop-Browser, Mobile-Browser). Auch am zweiten Tag werden die Schwachstellen am OWASP Juice Shop geübt.

XSS (Reflected-, Stored-, Dom-XSS, Mutation-XSS)
Same Origin Policy
CSRF Attacks
CORS & Cookie Security
Secure Development (Security Testing Pyramid, Threat Modeling)
DevSecOps (Static Analysis, Dependency Checks, Vulnerability Scanner)
Neu werden auch die Themen Secure Development und DevSecOps im Kurs behandelt. Die Teilnehmenden erhalten praxisnahe Tipps, wie die Sicherheit im eigenen Softwareprojekt verbessert werden kann.

Tag 3 – Fireside Chat (optional)
Rund zwei Wochen nach dem Kurs haben Sie die Möglichkeit, an einem ‚Fireside Chat‘ teilzunehmen. Bei diesem Follow-up Coaching beantworten die Trainer offene Fragen und stehen für Tipps und Anregungen zur Verfügung. Der einstündige Fireside Chat ist optional und findet online statt.

Kursziele

Die Teilnehmenden kennen die aktuellen Schwachstellen moderner Web-Applikationen (inklusive OWASP Top 10) und können diese erkennen und ausnutzen. Zudem wissen sie, welche Schutzmassnahmen existieren und wie diese implementiert werden.

Sie kennen die notwendigen Tools, um eine Web-Applikation zu analysieren und abzusichern und können sich in die Rolle eines Hackers versetzen.

Zielgruppe

Der Workshop richtet sich an Software-Entwickler und -Architekten, die sich mit Web-Technologien auseinandersetzen und ist bewusst technologie-unabhängig. Er eignet sich damit für jeden Web-Entwickler.